01ac2c977621e1ea207a8f17d52a8272cef48452e8bc4d6dc88589142b73548f

Analysis

max time kernel
68s
max time network
118s
platform
windows7_x64
resource
win7-20240708-en
resource tags

arch:x64arch:x86image:win7-20240708-enlocale:en-usos:windows7-x64system
submitted
04/09/2024, 21:46

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

zsdf.bat
Size

941B
MD5

300871b12a4edfa416fb869006260d55
SHA1

b9e881c6129d5a291825f65be86d42c4159eac65
SHA256

01ac2c977621e1ea207a8f17d52a8272cef48452e8bc4d6dc88589142b73548f
SHA512

b7afe0c7557bc739c836da394e7a0fbc151cae2662ff01a26d382efe51bc107cb70a7ee32cd30e5bb6df0eacbeaee16c473e89b1ca4dfd091769c23b35ea8fb1

Score

7^/10

Malware Config

Signatures

Drops startup file 64 IoCs

description	ioc	Process
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	Process not Found
File created	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe
File opened for modification	C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat	cmd.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082
Runs net.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2848 wrote to memory of 2704	2848	cmd.exe	31
PID 2848 wrote to memory of 2704	2848	cmd.exe	31
PID 2848 wrote to memory of 2704	2848	cmd.exe	31
PID 2704 wrote to memory of 2708	2704	net.exe	32
PID 2704 wrote to memory of 2708	2704	net.exe	32
PID 2704 wrote to memory of 2708	2704	net.exe	32
PID 2848 wrote to memory of 2732	2848	cmd.exe	33
PID 2848 wrote to memory of 2732	2848	cmd.exe	33
PID 2848 wrote to memory of 2732	2848	cmd.exe	33
PID 2848 wrote to memory of 2484	2848	cmd.exe	34
PID 2848 wrote to memory of 2484	2848	cmd.exe	34
PID 2848 wrote to memory of 2484	2848	cmd.exe	34
PID 2848 wrote to memory of 2792	2848	cmd.exe	35
PID 2848 wrote to memory of 2792	2848	cmd.exe	35
PID 2848 wrote to memory of 2792	2848	cmd.exe	35
PID 2848 wrote to memory of 2836	2848	cmd.exe	36
PID 2848 wrote to memory of 2836	2848	cmd.exe	36
PID 2848 wrote to memory of 2836	2848	cmd.exe	36
PID 2848 wrote to memory of 2760	2848	cmd.exe	37
PID 2848 wrote to memory of 2760	2848	cmd.exe	37
PID 2848 wrote to memory of 2760	2848	cmd.exe	37
PID 2848 wrote to memory of 2636	2848	cmd.exe	38
PID 2848 wrote to memory of 2636	2848	cmd.exe	38
PID 2848 wrote to memory of 2636	2848	cmd.exe	38
PID 2848 wrote to memory of 2868	2848	cmd.exe	39
PID 2848 wrote to memory of 2868	2848	cmd.exe	39
PID 2848 wrote to memory of 2868	2848	cmd.exe	39
PID 2848 wrote to memory of 2904	2848	cmd.exe	40
PID 2848 wrote to memory of 2904	2848	cmd.exe	40
PID 2848 wrote to memory of 2904	2848	cmd.exe	40
PID 2848 wrote to memory of 2624	2848	cmd.exe	41
PID 2848 wrote to memory of 2624	2848	cmd.exe	41
PID 2848 wrote to memory of 2624	2848	cmd.exe	41
PID 2848 wrote to memory of 2008	2848	cmd.exe	42
PID 2848 wrote to memory of 2008	2848	cmd.exe	42
PID 2848 wrote to memory of 2008	2848	cmd.exe	42
PID 2848 wrote to memory of 2764	2848	cmd.exe	43
PID 2848 wrote to memory of 2764	2848	cmd.exe	43
PID 2848 wrote to memory of 2764	2848	cmd.exe	43
PID 2848 wrote to memory of 2772	2848	cmd.exe	44
PID 2848 wrote to memory of 2772	2848	cmd.exe	44
PID 2848 wrote to memory of 2772	2848	cmd.exe	44
PID 2848 wrote to memory of 1996	2848	cmd.exe	45
PID 2848 wrote to memory of 1996	2848	cmd.exe	45
PID 2848 wrote to memory of 1996	2848	cmd.exe	45
PID 2848 wrote to memory of 2656	2848	cmd.exe	46
PID 2848 wrote to memory of 2656	2848	cmd.exe	46
PID 2848 wrote to memory of 2656	2848	cmd.exe	46
PID 2848 wrote to memory of 2864	2848	cmd.exe	47
PID 2848 wrote to memory of 2864	2848	cmd.exe	47
PID 2848 wrote to memory of 2864	2848	cmd.exe	47
PID 2848 wrote to memory of 2604	2848	cmd.exe	48
PID 2848 wrote to memory of 2604	2848	cmd.exe	48
PID 2848 wrote to memory of 2604	2848	cmd.exe	48
PID 2848 wrote to memory of 2612	2848	cmd.exe	49
PID 2848 wrote to memory of 2612	2848	cmd.exe	49
PID 2848 wrote to memory of 2612	2848	cmd.exe	49
PID 2848 wrote to memory of 2620	2848	cmd.exe	50
PID 2848 wrote to memory of 2620	2848	cmd.exe	50
PID 2848 wrote to memory of 2620	2848	cmd.exe	50
PID 2848 wrote to memory of 2652	2848	cmd.exe	51
PID 2848 wrote to memory of 2652	2848	cmd.exe	51
PID 2848 wrote to memory of 2652	2848	cmd.exe	51
PID 2848 wrote to memory of 2672	2848	cmd.exe	52

C:\Windows\system32\cmd.exe
cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
1⤵
- Drops startup file
- Suspicious use of WriteProcessMemory
PID:2848
- C:\Windows\system32\net.exe
  net session
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2704
- - C:\Windows\system32\net1.exe
    C:\Windows\system32\net1 session
    3⤵
    PID:2708
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2732
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:1216
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:2300
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:2960
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3648
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5064
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1704
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3828
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5420
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:624
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4980
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5176
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3188
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5916
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5868
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3900
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4972
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6032
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:3972
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6460
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:2228
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4436
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3408
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3576
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4596
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3472
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3820
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:5292
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6088
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6024
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5688
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6016
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5408
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6708
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3516
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3456
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6840
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:7048
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6252
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4264
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5276
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:2240
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2484
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:1792
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:1048
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:1708
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3836
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5356
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2996
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3804
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5220
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2984
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6332
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6352
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1720
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3776
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5276
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1944
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4736
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5720
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2544
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4316
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5752
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:3148
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4644
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4740
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4076
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5856
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:1196
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4636
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3828
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4312
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4764
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5132
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:2860
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5164
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6320
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5788
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6544
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4312
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3796
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6880
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6904
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:6484
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3772
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1504
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5884
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2792
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3084
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4232
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  - Drops startup file
  PID:2836
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:2968
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:3540
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2760
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3212
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4404
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2636
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3444
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4860
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2868
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:1260
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:1636
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2572
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3556
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4928
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1112
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3452
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4868
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3032
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4108
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5472
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2472
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4796
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5940
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:1012
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6536
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6576
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3196
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4680
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4540
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3916
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4872
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6024
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3956
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5392
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5424
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4428
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4028
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4320
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4588
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4188
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4328
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5332
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4960
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4276
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5776
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6212
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5392
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6724
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4300
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4148
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6856
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:7072
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6316
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4544
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6248
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5704
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2904
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3484
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4876
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2624
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:2412
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:1300
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2008
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3476
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4828
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2764
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:2680
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:2580
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4288
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2772
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3468
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4884
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1996
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:696
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:3688
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  - Drops startup file
  PID:2656
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:1536
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:848
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3276
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4212
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4272
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3964
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5176
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5712
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4412
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5924
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5440
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4564
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:2812
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:912
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5100
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3580
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4648
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5480
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6056
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5668
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6652
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3096
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3420
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6796
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6992
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:6176
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4220
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5024
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6428
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3416
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2864
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:1196
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:2464
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2604
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:996
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:2276
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3388
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6132
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5012
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3908
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6188
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5408
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4348
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5740
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6320
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4500
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3100
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3460
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5016
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6472
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:1300
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5236
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3700
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4208
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6584
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3720
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4108
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6732
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4116
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4316
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6936
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:7080
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:4716
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4160
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5800
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1784
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2612
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3504
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4920
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2620
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:2036
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:1616
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3380
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5028
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5960
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3892
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6244
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6016
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4372
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5764
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6452
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4492
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3732
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3824
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5072
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6104
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4724
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5372
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4872
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5000
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6636
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:2640
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3264
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6780
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6976
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:7152
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5156
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6136
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6420
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3336
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2652
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3572
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4908
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2672
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:1428
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:3060
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3396
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5216
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5888
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3924
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5832
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:344
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4364
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5524
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6280
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4516
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3284
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3412
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5048
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:7092
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6372
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5300
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6092
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4972
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6604
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4008
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3780
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6748
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6944
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:7096
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4712
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4840
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6368
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2092
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2720
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3260
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4676
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:3000
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:912
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:1148
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3356
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4848
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4912
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3996
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6172
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6236
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4420
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3832
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3864
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4604
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4760
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4660
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5284
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5908
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5984
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5680
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6148
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5340
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6692
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3644
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3792
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6832
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:7040
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6220
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4232
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5152
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:876
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4120
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2168
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3512
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4968
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:3004
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:1908
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:2952
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1600
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6412
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:2680
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1120
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3656
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5124
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1240
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3812
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5436
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:900
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4036
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5488
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1828
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3736
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5212
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2280
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3876
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5412
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1556
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4132
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5560
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1260
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4300
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5760
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3180
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5672
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4236
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4092
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6392
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6456
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4704
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:2728
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6508
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4804
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4980
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6592
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6160
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6304
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5488
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6568
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3704
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3736
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6888
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6928
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2464
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:3328
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4656
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5544
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1844
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3624
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5000
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:3024
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:236
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:2280
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3236
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5912
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4776
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3940
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:992
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:2728
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4380
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3724
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3852
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4532
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:2640
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3204
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4100
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5084
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5572
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5528
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5232
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6060
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6668
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3460
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3576
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:6816
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:7008
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6196
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5632
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5220
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6356
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3628
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1744
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3348
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4740
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:532
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3012
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:2468
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2948
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3460
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4852
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1852
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3784
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5512
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:932
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4116
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5544
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3040
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4284
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5768
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1636
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3728
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5268
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2004
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4292
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5800
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3140
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4964
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4956
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4044
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5188
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5948
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4484
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3080
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3224
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4628
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4108
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3776
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5428
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5128
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5008
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5816
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5424
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5396
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6756
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4304
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4072
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6872
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:7112
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6324
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4880
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5412
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2884
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:692
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3292
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4728
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:380
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:2272
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:664
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:408
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3704
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5168
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1028
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4004
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5504
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:1980
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3404
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4836
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:904
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3744
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5260
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1148
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5132
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5712
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2508
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4184
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5620
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3172
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5616
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5828
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3932
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5352
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5348
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4388
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5548
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6376
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4548
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:980
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3076
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5056
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:2532
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3584
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5324
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4848
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5652
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6620
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3268
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:2516
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:6772
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:6960
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:7144
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3632
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4928
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5516
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3508
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:776
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3244
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4684
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:348
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:1144
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:2316
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3308
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4168
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4208
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3948
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5956
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6148
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4396
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3456
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3572
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4556
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4336
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4664
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5108
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4252
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5160
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5496
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5184
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5208
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6644
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3104
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:912
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6788
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6984
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:7160
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:5180
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5972
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5512
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3216
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:656
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3332
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4720
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1484
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:2200
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:1476
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2872
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3760
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5252
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2328
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3564
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4988
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2488
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3412
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4788
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2192
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3720
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5228
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1044
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4028
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5396
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3156
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4748
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3340
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4052
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5492
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6328
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4444
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3476
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3736
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4812
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5144
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4164
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4248
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5596
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4676
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:6552
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3836
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3676
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6676
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3444
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3100
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6912
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:7016
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2540
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4200
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5988
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5864
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  - Drops startup file
  PID:1492
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3268
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4240
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  - Drops startup file
  PID:576
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:2292
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:1720
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3316
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4988
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4820
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3980
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5204
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6060
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4468
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3484
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3704
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4620
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4156
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4144
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5364
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6112
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5264
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5808
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6188
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6292
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6740
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4032
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4584
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6864
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:7064
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6288
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5580
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5460
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:992
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1964
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3284
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4644
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2024
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:1808
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:2504
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:1612
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3860
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5380
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1780
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3548
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5008
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1688
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3820
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5196
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1860
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6436
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:2300
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:2912
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4660
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5852
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1728
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4308
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5792
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2200
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4756
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5932
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3132
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4952
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3684
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4060
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6296
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5784
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4572
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4184
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4300
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4892
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4728
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4852
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5604
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5928
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5956
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6684
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3756
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3708
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:6824
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:7024
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6184
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4216
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5256
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5752
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3844
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:632
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3220
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4264
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:732
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:2004
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:2472
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3372
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5272
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5168
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4020
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6508
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:2112
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4340
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5772
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5760
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4508
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3480
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3640
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5040
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5716
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4680
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5308
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4908
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4944
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6612
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:2324
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:980
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6764
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6952
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:7132
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3544
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4860
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6432
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:3272
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2196
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3204
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4272
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2184
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:2660
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:2948
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3300
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5992
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4924
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3988
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3288
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3504
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4460
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:1816
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3264
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4612
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3868
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3744
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5316
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4876
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6044
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5744
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5588
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5792
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6716
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3824
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3728
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6848
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:7056
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6256
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4176
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6000
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1488
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2180
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:5768
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:6488
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2132
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:1560
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:1768
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3364
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4724
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4824
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4012
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5260
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6008
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4356
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5468
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5584
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4524
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3656
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3624
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5116
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4720
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5976
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5536
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:5476
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5416
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6660
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3120
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3464
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6808
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:7000
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6192
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5636
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5996
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:5804
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3292
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2232
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:5944
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5620
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  - Drops startup file
  PID:2188
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:1940
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:756
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:2704
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6460
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:2076
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:1328
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3616
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5088
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:1684
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3428
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4772
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:324
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3752
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5204
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3016
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3500
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5552
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3164
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6096
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6012
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4084
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:6444
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:5940
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4476
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3216
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3120
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4900
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3592
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:6468
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    - Drops startup file
    PID:5096
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:4688
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:4672
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6560
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3776
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3856
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6700
  - - C:\Windows\system32\net.exe
      net session
      4⤵
      PID:3556
    - - C:\Windows\system32\net1.exe
        
        C:\Windows\system32\net1 session
        5⤵
        
        PID:3764
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6920
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:7032
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:3232
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4268
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6172
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6464
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2372
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:2884
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4176
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2416
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:2288
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:2292
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:6596
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1948
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:996
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4208
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  - Drops startup file
  PID:1432
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:4136
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4132
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2124
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:1428
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4192
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2344
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:980
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:3580
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2888
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:912
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:3696
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2668
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:2816
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:3600
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2688
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:468
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4216
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  - Drops startup file
  PID:2588
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:2400
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:3608
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2892
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3100
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4668
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2424
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:2560
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:3324
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4336
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2136
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3092
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4224
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1740
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:1488
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:3632
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2568
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:888
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4160
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2040
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:2728
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:3228
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1036
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3076
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4168
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1660
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:344
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:3340
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4664
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2788
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3116
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4540
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2700
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:1504
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:3680
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1856
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3108
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4200
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1968
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:1280
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:3252
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4760
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1804
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:2212
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:3520
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  - Drops startup file
  PID:836
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:1972
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:2532
- - C:\Windows\system32\cmd.exe
    cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
    3⤵
    PID:4660
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2924
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3844
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5388
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1604
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:5772
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:6448
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2492
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:6444
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5720
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:444
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3420
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4820
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1100
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3672
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5148
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2956
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3664
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4944
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1252
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3640
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5024
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1984
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3436
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:4844
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1048
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3788
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5244
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2524
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3796
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5404
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:796
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3868
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5340
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2548
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3596
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5448
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2316
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3712
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5184
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:868
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:7088
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:7104
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:664
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:6468
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:3592
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:560
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3852
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5348
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2100
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:4068
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5520
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1716
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:4124
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5464
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:764
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:4580
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5836
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:760
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:4324
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5784
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2584
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:4144
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5456
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1940
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:4152
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5584
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:236
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:4332
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5736
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:2660
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:4652
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5860
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:3124
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3324
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:3252
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:3884
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:5732
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5268
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  - Drops startup file
  PID:4256
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:6380
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:5512
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:4452
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3760
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:3672
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:4780
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:7108
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:6300
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  - Drops startup file
  PID:5032
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:6416
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:6492
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  - Drops startup file
  PID:6528
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:4308
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:3492
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:6628
- - C:\Windows\system32\net.exe
    net session
    3⤵
    PID:3076
  - - C:\Windows\system32\net1.exe
      C:\Windows\system32\net1 session
      4⤵
      PID:888
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:6896
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:6968
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:1288
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:4948
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:4856
- C:\Windows\system32\cmd.exe
  cmd /c "C:\Users\Admin\AppData\Local\Temp\zsdf.bat"
  2⤵
  PID:5560

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\getadmin.vbs

Filesize
46B

MD5
d14a6c18536b08c2d91cc10129cec2ca

SHA1
d1fbfc316c335d22da1da32dc8255e01d3629ad5

SHA256
88f0e55be41422957e8f4fec8caf0f9ed4e68d1f0290171ba8f4bd26c19fa17d

SHA512
1ee2a30c0549d94ab0aa1ac80b621edf740f7e76e9c98f6fd5c76b5a669bb736d84d57f048d8663354dc5467d181d1051b88feac0726e38728e79231b6aa646b

Download Submit
C:\Users\Admin\AppData\Local\Temp\getadmin.vbs

Filesize
140B

MD5
c9f7edefdee046e9ade5bb1ff6360501

SHA1
88f686248eb2052607bda33c9c65baa3ec8464ca

SHA256
5979ecd6f964f415a78bf63a9cb1426edbd96d73c7bddb4777452c9db00fb933

SHA512
4000d9ae1c65b1ab0a60154b332220384babe16565a95cf09f9be4d6c27e86b0242f87effa0188393aff1d3b92f8013d5fac21f703bfc20cece9a1e211495ba6

Download Submit
C:\Users\Admin\AppData\Local\Temp\getadmin.vbs

Filesize
328B

MD5
935871f7995eaef9b8c2c88d08d54467

SHA1
6aa5c3d8c03245b3b79b3543e06ec97d313d290c

SHA256
7c53e7ecd195fc3c700d3247682287d881deffe4487db7f28790eb2782d90ac5

SHA512
4d0f42557ae7c8fa56158ce2ea3ef8c4a0298c23496bc1900822188484454917ab0481423b7b70a581024420dd33a10d87b13b111539a2fc41f0b748a5be93cc

Download Submit
C:\Users\Admin\AppData\Local\Temp\getadmin.vbs

Filesize
422B

MD5
c3835003a4687aae798fb53e1892efeb

SHA1
05aae0ffb8a009685355ba34e16d14ba9c5f66bf

SHA256
f8c2df61acd308c1a0f0fe0b585473ec0b019511f9b084f263ac1cfdab2b239e

SHA512
a1459939ebcf1eebff8ae553ca41ff67aafbd40a438bb7e0396dc5be6ee2781061df6d0f53bc1c9925ed2bfa1b2cfcb5af37670b8eb09a9a8bdb2d1babfc9543

Download Submit
C:\Users\Admin\AppData\Local\Temp\getadmin.vbs

Filesize
234B

MD5
e1fa6e5dfbbb0bd40e7cbae3f829e445

SHA1
6c0cb1c0d073f43e17a9421ab9c3a08d38f79207

SHA256
ec707b72b129addd77b64b6ac77d81b1e4f48a9206cd959787eebc235fb7d4f9

SHA512
254ba64ac62c49bc2fc3eee91ef4d7cd227d0a422439247f7d563a44fa1e9656588f62124e6f50bb2ce21a4ca1eb19aa0f71093106fb5511c6a5b00d7b0fb6e3

Download Submit
C:\Users\Admin\AppData\Local\Temp\getadmin.vbs

Filesize
610B

MD5
32c0f158ca2e8ef2951f6c5df1c6e79c

SHA1
8192c4f3d4aeda1a10cc415196f56231baf944d5

SHA256
3bff453853b74ddafa61028261cf5e2858bee644672155e852b6d38ccbd7fea2

SHA512
67402b1158ecfa9af566b14d678e1a68b384d1687478609b229fbab9bf2e18623e3e06eecd8eb6c5b19a6e0e5383fb674d8c0df91d3e254a2ffc444a3a5b7f55

Download Submit
C:\Users\Admin\AppData\Local\Temp\getadmin.vbs

Filesize
704B

MD5
8a70b935060abdd4283f9454e9b1e2ca

SHA1
aab12e3c6c40e525f27a9b768a4824643b357693

SHA256
f94ce4f459f0ff810db711efb7472ef2c06a2cf99feb39704da1f1c63b2cd00e

SHA512
edb4fc3efd5ba9ab87ff43d9e56422760079d19cb7838329ff47f5eeaad9207f7a26af27fdc4279c45b2947746aa95a55bb814892175b20cb3b4ec0d7727965b

Download Submit
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bomb.bat

Filesize
941B

MD5
300871b12a4edfa416fb869006260d55

SHA1
b9e881c6129d5a291825f65be86d42c4159eac65

SHA256
01ac2c977621e1ea207a8f17d52a8272cef48452e8bc4d6dc88589142b73548f

SHA512
b7afe0c7557bc739c836da394e7a0fbc151cae2662ff01a26d382efe51bc107cb70a7ee32cd30e5bb6df0eacbeaee16c473e89b1ca4dfd091769c23b35ea8fb1

Download Submit
memory/2612-136-0x000000004A4B0000-0x000000004A509000-memory.dmp

Filesize
356KB

Download
memory/7560-160-0x000000004A4B0000-0x000000004A509000-memory.dmp

Filesize
356KB

Download
memory/8968-441-0x000000004A4B0000-0x000000004A509000-memory.dmp

Filesize
356KB

Download
memory/9312-153-0x000007FEFFB30000-0x000007FEFFBF9000-memory.dmp

Filesize
804KB

Download
memory/9312-152-0x000000004A4B0000-0x000000004A509000-memory.dmp

Filesize
356KB

Download
memory/14308-151-0x0000000077A60000-0x0000000077C09000-memory.dmp

Filesize
1.7MB

Download
memory/16772-120-0x000000004A4B0000-0x000000004A509000-memory.dmp

Filesize
356KB

Download
memory/16796-118-0x000000004A4B0000-0x000000004A509000-memory.dmp

Filesize
356KB

Download
memory/17932-440-0x000000004A4B0000-0x000000004A509000-memory.dmp

Filesize
356KB

Download
memory/19168-125-0x00000000FFF10000-0x00000000FFF2C000-memory.dmp

Filesize
112KB

Download
memory/19756-115-0x0000000077A60000-0x0000000077C09000-memory.dmp

Filesize
1.7MB

Download
memory/19756-114-0x000000004A4B0000-0x000000004A509000-memory.dmp

Filesize
356KB

Download
memory/19908-134-0x000000004A4B0000-0x000000004A509000-memory.dmp

Filesize
356KB

Download
memory/19964-104-0x000000004A4B0000-0x000000004A509000-memory.dmp

Filesize
356KB

Download
memory/20044-107-0x000000004A4B0000-0x000000004A509000-memory.dmp

Filesize
356KB

Download
memory/20100-103-0x000000004A4B0000-0x000000004A509000-memory.dmp

Filesize
356KB

Download
memory/20232-116-0x000007FEFDC40000-0x000007FEFDD49000-memory.dmp

Filesize
1.0MB

Download
memory/20460-123-0x00000000FFF10000-0x00000000FFF2C000-memory.dmp

Filesize
112KB

Download
memory/20504-124-0x00000000FFF10000-0x00000000FFF2C000-memory.dmp

Filesize
112KB

Download
memory/20596-113-0x00000000FF7C0000-0x00000000FF7F3000-memory.dmp

Filesize
204KB

Download
memory/20740-150-0x00000000FFF60000-0x00000000FFF7C000-memory.dmp

Filesize
112KB

Download
memory/20804-137-0x000007FEFF340000-0x000007FEFF36E000-memory.dmp

Filesize
184KB

Download
memory/20952-121-0x00000000FFF10000-0x00000000FFF2C000-memory.dmp

Filesize
112KB

Download
memory/21280-129-0x0000000077A60000-0x0000000077C09000-memory.dmp

Filesize
1.7MB

Download
memory/21280-128-0x000000004A4B0000-0x000000004A509000-memory.dmp

Filesize
356KB

Download