48eafedba19f01b31c67df2eff681f0a8b34221ac5e51329192b3699d8345580

Analysis

max time kernel
9s
max time network
155s
platform
windows10-2004_x64
resource
win10v2004-20240802-en
resource tags

arch:x64arch:x86image:win10v2004-20240802-enlocale:en-usos:windows10-2004-x64system
submitted
08/09/2024, 15:36

Sharing

Copy URL Twitter E-mail

Report Analysis Logs

General

Target

code.vbs
Size

136B
MD5

a5fac43b564f825952cfb183fa2ea72e
SHA1

f4e1d16ee0f70ebf73d91bff59f93c080df27f27
SHA256

48eafedba19f01b31c67df2eff681f0a8b34221ac5e51329192b3699d8345580
SHA512

0e790290426731d7426151b9bf03a80b4f48435bf0aefbae1847fc330ae7276a74744b61d1270131f5121c636bca911c8849bade74ed95bd92e003d137d2670d

Score

7^/10

Malware Config

Signatures

Checks computer location settings 2 TTPs 1 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-1194130065-3471212556-1656947724-1000\Control Panel\International\Geo\Nation	WScript.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4040 wrote to memory of 2844	4040	WScript.exe	83
PID 4040 wrote to memory of 2844	4040	WScript.exe	83
PID 4040 wrote to memory of 2816	4040	WScript.exe	85
PID 4040 wrote to memory of 2816	4040	WScript.exe	85
PID 4040 wrote to memory of 2988	4040	WScript.exe	87
PID 4040 wrote to memory of 2988	4040	WScript.exe	87
PID 4040 wrote to memory of 2940	4040	WScript.exe	89
PID 4040 wrote to memory of 2940	4040	WScript.exe	89
PID 4040 wrote to memory of 3176	4040	WScript.exe	90
PID 4040 wrote to memory of 3176	4040	WScript.exe	90
PID 4040 wrote to memory of 5052	4040	WScript.exe	93
PID 4040 wrote to memory of 5052	4040	WScript.exe	93
PID 4040 wrote to memory of 4740	4040	WScript.exe	95
PID 4040 wrote to memory of 4740	4040	WScript.exe	95
PID 4040 wrote to memory of 212	4040	WScript.exe	6020
PID 4040 wrote to memory of 212	4040	WScript.exe	6020
PID 4040 wrote to memory of 5024	4040	WScript.exe	99
PID 4040 wrote to memory of 5024	4040	WScript.exe	99
PID 4040 wrote to memory of 4528	4040	WScript.exe	4525
PID 4040 wrote to memory of 4528	4040	WScript.exe	4525
PID 4040 wrote to memory of 1252	4040	WScript.exe	4062
PID 4040 wrote to memory of 1252	4040	WScript.exe	4062
PID 4040 wrote to memory of 3444	4040	WScript.exe	105
PID 4040 wrote to memory of 3444	4040	WScript.exe	105
PID 4040 wrote to memory of 3532	4040	WScript.exe	6960
PID 4040 wrote to memory of 3532	4040	WScript.exe	6960
PID 4040 wrote to memory of 4660	4040	WScript.exe	8284
PID 4040 wrote to memory of 4660	4040	WScript.exe	8284
PID 4040 wrote to memory of 1168	4040	WScript.exe	4084
PID 4040 wrote to memory of 1168	4040	WScript.exe	4084
PID 2816 wrote to memory of 4552	2816	cmd.exe	112
PID 2816 wrote to memory of 4552	2816	cmd.exe	112
PID 3176 wrote to memory of 1040	3176	cmd.exe	115
PID 3176 wrote to memory of 1040	3176	cmd.exe	115
PID 3176 wrote to memory of 1108	3176	cmd.exe	116
PID 3176 wrote to memory of 1108	3176	cmd.exe	116
PID 4552 wrote to memory of 2268	4552	cmd.exe	118
PID 4552 wrote to memory of 2268	4552	cmd.exe	118
PID 2816 wrote to memory of 4772	2816	cmd.exe	117
PID 2816 wrote to memory of 4772	2816	cmd.exe	117
PID 4040 wrote to memory of 4112	4040	WScript.exe	10530
PID 4040 wrote to memory of 4112	4040	WScript.exe	10530
PID 2844 wrote to memory of 640	2844	cmd.exe	119
PID 2844 wrote to memory of 640	2844	cmd.exe	119
PID 5052 wrote to memory of 4492	5052	cmd.exe	122
PID 5052 wrote to memory of 4492	5052	cmd.exe	122
PID 4552 wrote to memory of 4204	4552	cmd.exe	120
PID 4552 wrote to memory of 4204	4552	cmd.exe	120
PID 4040 wrote to memory of 4576	4040	WScript.exe	10961
PID 4040 wrote to memory of 4576	4040	WScript.exe	10961
PID 4492 wrote to memory of 3608	4492	cmd.exe	126
PID 4492 wrote to memory of 3608	4492	cmd.exe	126
PID 4492 wrote to memory of 536	4492	cmd.exe	127
PID 4492 wrote to memory of 536	4492	cmd.exe	127
PID 2268 wrote to memory of 3204	2268	cmd.exe	128
PID 2268 wrote to memory of 3204	2268	cmd.exe	128
PID 2268 wrote to memory of 4044	2268	cmd.exe	129
PID 2268 wrote to memory of 4044	2268	cmd.exe	129
PID 2844 wrote to memory of 2420	2844	cmd.exe	123
PID 2844 wrote to memory of 2420	2844	cmd.exe	123
PID 4204 wrote to memory of 4432	4204	cmd.exe	125
PID 4204 wrote to memory of 4432	4204	cmd.exe	125
PID 4204 wrote to memory of 2500	4204	cmd.exe	132
PID 4772 wrote to memory of 1880	4772	cmd.exe	131

C:\Windows\System32\WScript.exe
"C:\Windows\System32\WScript.exe" "C:\Users\Admin\AppData\Local\Temp\code.vbs"
1⤵
- Checks computer location settings
- Suspicious use of WriteProcessMemory
PID:4040
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2844
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:640
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:8404
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:14396
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:14592
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:8600
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:14616
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:2420
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:2720
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:8436
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:12496
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:13636
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:14408
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:14660
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:15892
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:15176
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:16060
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:16132
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:16140
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:15316
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:14416
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:12880
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:15580
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:8460
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:12520
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:12884
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:15672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:15680
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:3872
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:4332
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:8592
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:12892
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:14552
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:15308
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:14112
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:14672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:14680
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:9576
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:11904
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:14748
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:14764
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:11916
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:14732
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:14740
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:1160
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:15728
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:15952
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:13844
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:15784
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:12664
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:15884
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2816
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:4552
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      Suspicious use of WriteProcessMemory
      PID:2268
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:3204
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:3256
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:4672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:2696
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:4724
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5660
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6940
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:13068
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:14060
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6956
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11272
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11808
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5676
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:8916
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:10120
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12500
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:10944
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:3744
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5732
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:8956
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:8972
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:9880
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:14948
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:9928
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5740
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:13436
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:15068
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:3648
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:2540
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5012
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:5500
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:6644
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:7172
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:13304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:14956
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:7180
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:13508
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:14576
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:6660
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:7204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:11968
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        15⤵
        
        PID:16308
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        15⤵
        
        PID:10788
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:12984
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:7212
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:13412
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:14540
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6360
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7036
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:10192
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:10224
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7052
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12212
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:10976
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:10360
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13108
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:11136
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:14248
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5224
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6612
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:11228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:11792
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7132
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12764
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:16380
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:15388
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6628
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7164
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:11036
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:8480
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:10680
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12368
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13036
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:1420
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:4244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:5852
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:6272
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:6752
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:7452
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        15⤵
        
        PID:13348
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        15⤵
        
        PID:14988
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        16⤵
        
        PID:14944
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        16⤵
        
        PID:10144
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:8288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        15⤵
        
        PID:12928
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        16⤵
        
        PID:14848
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        16⤵
        
        PID:12860
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        15⤵
        
        PID:14600
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:6768
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:12268
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:13132
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:6280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:6868
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:13720
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:14924
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:7828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:12936
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:14024
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:5864
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:6256
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13476
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:15100
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:6812
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:11348
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:15440
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:12672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12432
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:3588
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:5636
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7140
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12540
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:10916
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:11216
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13092
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7148
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13748
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:5644
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:6588
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:7088
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:11260
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:12440
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        15⤵
        
        PID:12400
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        15⤵
        
        PID:12060
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:7104
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:11188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:12296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:6604
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:3692
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:4768
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:4352
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5652
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6564
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:13732
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:7024
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12000
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:14784
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:14372
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12992
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5668
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6932
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7928
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12488
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13236
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:8240
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:10096
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:10500
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6948
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11212
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11620
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13648
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13460
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:3652
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5612
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6572
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7072
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:9380
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:14640
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:9396
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7080
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:11156
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:12568
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:11644
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6580
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11028
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11052
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5628
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6652
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7232
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:11196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:8736
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:14624
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:8800
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6668
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7264
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13156
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:14720
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:8256
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:14688
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:4560
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:4368
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6320
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:6876
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13316
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:14964
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:8196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:9372
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:10252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6328
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:10144
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:10160
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5844
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6308
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:10512
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11104
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:7044
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:13124
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:3800
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5588
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:10332
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:10348
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11680
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:6392
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:7676
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12376
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:13216
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:7692
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12480
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:15444
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:16352
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:13084
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:4916
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:1936
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:4868
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:2552
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5596
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6884
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12352
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:13188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:7848
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12284
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:6400
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:12196
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:13740
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:3564
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5440
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6120
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:6696
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:7312
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:13984
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:16156
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:7320
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:13396
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:15044
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:6704
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13380
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:15028
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6128
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7740
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13492
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:14560
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:16292
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:16312
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:8360
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:14916
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5980
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6596
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7096
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:11252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:8432
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:14548
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:8248
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:14448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6636
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:9356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:10248
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:2432
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:3584
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5796
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6092
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:13500
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6804
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:8664
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:9228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5812
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:13000
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:14036
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:9912
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12816
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:3832
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5508
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:8320
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11784
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11984
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:8832
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:6368
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:9920
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:13388
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:15228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:8516
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:15448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:9936
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11460
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:1044
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:3504
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:5788
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:7708
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:10168
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:10176
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:8352
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:14464
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:5804
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:6860
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:7872
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12276
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:13164
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:7880
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:14648
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:16340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:7836
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:11960
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:12976
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:4856
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:5572
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:11356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:12424
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:6376
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:10136
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:10152
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:8588
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:4044
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:544
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:4228
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:3848
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:5780
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:7668
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:12312
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:13028
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:7684
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:12220
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:9648
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:10776
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:13756
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:6428
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:7700
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:13324
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:14972
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:8376
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:11800
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:11992
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:13200
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:15280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:1972
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:5324
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:6232
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6760
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7436
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12408
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:14044
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:8280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:8612
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:10064
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:10104
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:9124
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:10088
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:10112
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6776
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7444
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12156
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:12824
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13008
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7460
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12180
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13516
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:6240
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:8344
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:13708
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:14940
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:9288
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:5872
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:7372
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:8632
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:14124
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:9056
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:7388
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:13364
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:15004
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:5036
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:2076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:5344
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5912
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:7596
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12388
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12040
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:13076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:8304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11952
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:15872
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:11132
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12968
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5936
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:8524
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12920
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:14320
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:8900
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:14068
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:15988
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:5352
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:6176
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:7488
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:13356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:15012
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:7504
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:8792
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:14792
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:8804
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:9364
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:10284
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:7748
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:14456
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:16148
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:1200
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:5772
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:8116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:14132
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:15980
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:8852
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:10072
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:10484
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12784
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:4184
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:6436
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:11280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:15676
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:12320
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:2748
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:4668
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:5020
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:3976
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5756
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:11244
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:11636
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11588
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:6420
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:11336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:11828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:15924
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:3968
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5716
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:10308
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:10324
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:6444
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:7256
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:10996
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11388
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:7272
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:8640
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:11060
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:11068
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:9064
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13668
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:2744
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:2976
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5448
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6104
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:11236
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:11776
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:8008
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12360
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6112
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7620
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13484
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:15092
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7652
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13452
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:12888
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        14⤵
        
        PID:10076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:15076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5988
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6900
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7908
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12636
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13716
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:8368
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13684
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6916
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7916
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12512
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13252
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:8232
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:10428
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:11368
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:5188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:6852
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:12328
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:15528
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:14780
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:13148
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:7820
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:9388
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:10236
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:1016
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:1860
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:3036
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5408
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:3844
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7644
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12164
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13772
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:8328
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13700
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6160
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7480
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13340
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:14996
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7496
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12944
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:14568
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5972
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6688
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13808
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:14932
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7304
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:13404
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:15052
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6712
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7396
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12556
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:14188
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:7412
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:11172
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:12236
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:5180
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5432
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6620
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11012
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11412
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:11704
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:7124
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11220
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11628
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:14896
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:16132
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:6004
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:6892
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11020
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:9760
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        13⤵
        
        PID:9736
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11420
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:7856
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11180
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12504
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:3472
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:4972
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5684
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:11320
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11608
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:12336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:15812
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:13828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5692
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:10268
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:10944
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:3208
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5480
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:9952
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:10396
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:15948
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11376
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:5488
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:9152
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:9164
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:15236
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      Suspicious use of WriteProcessMemory
      PID:4204
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:4432
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:5580
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:10336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:10952
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:15672
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:13100
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:6384
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:12804
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:13260
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:2500
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:3904
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:5820
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:7612
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:13420
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:15036
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:7628
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:13332
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:14980
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:6300
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:11328
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:12416
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:8840
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:12068
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:1116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:5748
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:6908
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:12148
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:12960
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:7864
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:13428
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:15060
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:5764
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:8964
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:10128
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:15936
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:4772
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:1880
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:5308
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:6216
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:7584
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:12260
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:8960
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:11616
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:13140
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:7604
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:12572
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:14800
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:15324
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:14240
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:6224
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:10044
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:10472
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:5884
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:7336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:11684
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:13764
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:7344
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:13372
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:15020
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:1604
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:3108
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:1368
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:1796
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:5604
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:8920
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:10208
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:10216
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:8936
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:5620
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:10292
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:10356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:4132
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:5396
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:6148
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:8312
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:14608
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:16356
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:8824
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:10200
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:14528
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:10920
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:10936
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11668
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:6168
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:8336
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:11404
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:11692
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:15928
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:8836
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:11076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11124
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:15160
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:11532
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:5952
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:5108
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:7512
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:11044
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:9360
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:13584
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:11428
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:13580
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:8296
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:11944
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:12748
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:7728
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:12548
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:14312
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:1224
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:3048
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:5836
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:9944
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:14632
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:9960
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:6292
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:10300
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:14776
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:10316
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:13692
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:11760
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:4616
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:5300
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:5892
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:6724
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:7352
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11976
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12756
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:8264
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:14440
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:16008
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:6732
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:7404
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12580
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:14200
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:8272
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11160
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:11544
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:6192
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:13444
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:15084
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:9704
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:16280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:5316
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:5920
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:6924
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:12588
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:13792
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:7888
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:11004
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:14904
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:13676
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:11396
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:15164
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:15876
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:5928
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:6200
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:7636
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12140
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12952
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:7660
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:12564
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:14208
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:7756
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:12172
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:6968
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        12⤵
        
        PID:15372
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:13020
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:4824
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:3984
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:5700
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:9108
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:10056
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:10468
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:15276
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:9116
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:10080
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:15604
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:14524
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:10492
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:6408
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:12344
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:13180
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:396
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:5708
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:10032
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:11092
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:15636
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:11868
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:5724
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  PID:2988
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:8564
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:10276
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:16208
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:11752
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  PID:2940
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:8584
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:10372
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:10844
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:10852
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:11888
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:15848
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:13628
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:15856
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:16220
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:3176
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:1040
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:1048
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:10960
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:11836
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:14844
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:16196
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:14860
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:5268
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:9856
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:10796
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:12076
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:12840
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:13920
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:14584
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:13848
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:12084
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:12852
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:13824
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:10804
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:15260
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:9868
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:10820
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:14892
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:16204
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:14900
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:10828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:11924
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:12776
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:12784
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:11932
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:12716
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:12724
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:14852
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:15252
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:1108
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:9004
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:11472
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:14836
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:15244
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:11652
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:12008
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:12816
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:13832
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:12024
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:12828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:13840
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:10548
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:5052
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:4492
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:3608
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:9744
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:10740
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:11436
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:11848
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:12668
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:12676
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:11856
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:14828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:15268
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:9816
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:10752
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:15276
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:15564
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:11444
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:11868
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:11876
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:536
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:8416
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:8504
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:12684
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:12692
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:8512
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:12656
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:13692
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:8476
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:14248
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:14256
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:3416
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:3488
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:8468
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:8544
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:13280
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:14876
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:15292
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:15908
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:16112
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        10⤵
        
        PID:16120
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:13912
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        11⤵
        
        PID:15976
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:15916
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:13288
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:8552
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:13784
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:14268
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:15128
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:13800
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:14868
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:14884
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:8892
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:14388
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:15900
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:16084
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:11880
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:15508
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:15112
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:1052
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:8484
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:9828
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:10772
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:15284
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:11452
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:15784
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:9836
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:14376
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:15120
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:8492
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:15152
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:15300
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  PID:4740
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:10656
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:16068
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:16260
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:16304
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:13816
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:16268
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:16320
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:11676
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  PID:212
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:11112
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:16364
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:11896
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:13856
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:12908
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:12168
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:12412
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  PID:5024
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:10912
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:16076
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:11668
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  PID:4528
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:10780
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:15820
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:10496
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:15212
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:16236
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:11660
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:16248
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:15404
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  PID:1252
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:8444
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:8452
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:15340
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:13920
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  PID:3444
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:15864
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:16044
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:10068
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:10712
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:10508
    - - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        5⤵
        
        PID:11980
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:10148
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:12800
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:15768
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:15320
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:11064
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:13688
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:12564
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:13608
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:14128
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:12128
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        9⤵
        
        PID:15612
      - C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        6⤵
        
        PID:11504
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:11032
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:16144
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:15660
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        7⤵
        
        PID:12732
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:15724
        
        C:\Windows\system32\cmd.exe
        
        C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
        8⤵
        
        PID:15336
  - - C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
      4⤵
      PID:16052
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  PID:3532
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:15872
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  PID:4660
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  PID:1168
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  PID:4112
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:15520
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:13696
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  PID:4576
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  PID:832
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  PID:3952
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:15516
- - C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /S /D /c" "C:\Users\Admin\AppData\Local\Temp\$_.cmd""
    3⤵
    PID:15956
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  PID:1384
- C:\Windows\system32\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\$_.cmd" "
  2⤵
  PID:5292

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\$_.cmd

Filesize
5B

MD5
3808d82ed52876c3dda66fbf4cb142c8

SHA1
224dcbc79590e1d4abfda3d17b083b333fa00980

SHA256
11ea65b2709bb714f059cf53767f7ee5ae6defe5b5d548e32375e65571b66015

SHA512
c29e6bca941260fa3109a4266d6ace8c88604135ac1785e8e77500e15cccf29565470dd09a78592d202d100376565eef5b70bb5eab5224931e0d6f831a7bfe61

Download Submit
memory/4668-48-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/5572-27-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/6452-31-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/6784-49-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/7212-28-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/7284-63-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/7652-26-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/7936-75-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/8376-29-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/8568-25-0x00007FFEF15D0000-0x00007FFEF166E000-memory.dmp

Filesize
632KB

Download
memory/8608-47-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/9124-23-0x00007FFEF0600000-0x00007FFEF069B000-memory.dmp

Filesize
620KB

Download
memory/9212-34-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/9340-65-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/9364-51-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/9900-59-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/10164-37-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/10248-22-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/10292-70-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/10752-20-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/11780-78-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/11784-24-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/11996-42-0x00007FFEEFE10000-0x00007FFEF00D9000-memory.dmp

Filesize
2.8MB

Download
memory/12140-19-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/12336-36-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/12480-50-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/12536-66-0x00007FFEF2090000-0x00007FFEF2285000-memory.dmp

Filesize
2.0MB

Download
memory/12584-80-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/12656-40-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/12656-18-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/12840-44-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/12864-52-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/13500-21-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/13596-38-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/13620-74-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/13892-77-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/14056-43-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/14100-76-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/14144-45-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/14236-71-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/14252-61-0x00007FFEF2090000-0x00007FFEF2285000-memory.dmp

Filesize
2.0MB

Download
memory/14596-55-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/14976-41-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/15024-57-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/15508-58-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/15600-35-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/15752-33-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/15980-30-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/16060-32-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/16164-73-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/16176-69-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/16352-39-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/16352-67-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/16528-46-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/16676-79-0x00007FFEF0600000-0x00007FFEF069B000-memory.dmp

Filesize
620KB

Download
memory/17156-56-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/17620-62-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/17688-81-0x00007FFEF2090000-0x00007FFEF2285000-memory.dmp

Filesize
2.0MB

Download
memory/17688-64-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/17724-53-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/17784-68-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/17832-54-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download
memory/18312-72-0x00007FF6BAEC0000-0x00007FF6BAF27000-memory.dmp

Filesize
412KB

Download