Analysis
-
max time kernel
150s -
max time network
123s -
platform
windows10-2004_x64 -
resource
win10v2004-20240802-en -
resource tags
-
submitted
02-10-2024 01:22
General
-
Target
ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exe
-
Size
196KB
-
MD5
bceb210f414ff6adfa63b6debe403510
-
SHA1
18381302ef676cf5fb15a584c4a456ee175db313
-
SHA256
ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16c
-
SHA512
03893003199b087c508a4d141502ec1c60b831ae3a6bef6d92a898a5c8d4472aaee0e294eb469380c51a4cc19d077a5bae7f94aca8bf868f79fe4b9680116f18
-
SSDEEP
3072:5vDJY/eWZqYauFiIfNLCqcyM99OqJ+jtYxpZ5nk7pztomi5BWzGmeWBRcIP6CwX:5qGW0Ts/NbcyU9XJ+jtYd5mBD6X4pn9
Score
10/10
Malware Config
Signatures
-
Modifies visibility of file extensions in Explorer 2 TTPs 64 IoCs
-
UAC bypass 3 TTPs 64 IoCs
-
Renames multiple (79) files with added filename extension
This suggests ransomware activity of encrypting all the files on the system.
-
Checks computer location settings 2 TTPs 1 IoCs
Looks up country code configured in the registry, likely geofence.
-
Executes dropped EXE 2 IoCs
-
Reads user/profile data of web browsers 3 TTPs
Infostealers often target stored browser data, which can include saved credentials etc.
-
Adds Run key to start application 2 TTPs 4 IoCs
-
Drops file in System32 directory 1 IoCs
-
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).
-
System Location Discovery: System Language Discovery 1 TTPs 64 IoCs
Attempt gather information about the system language of a victim in order to infer the geographical location of that host.
-
Modifies registry key 1 TTPs 64 IoCs
-
Suspicious behavior: EnumeratesProcesses 64 IoCs
-
Suspicious behavior: GetForegroundWindowSpam 1 IoCs
-
Suspicious use of FindShellTrayWindow 64 IoCs
-
Suspicious use of WriteProcessMemory 64 IoCs
Processes
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exe"C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exe"1⤵
- Adds Run key to start application
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\JSIwYkgU\SawUwgAM.exe"C:\Users\Admin\JSIwYkgU\SawUwgAM.exe"2⤵
- Executes dropped EXE
- Adds Run key to start application
-
-
C:\ProgramData\msoQkEwM\TwsEsMsI.exe"C:\ProgramData\msoQkEwM\TwsEsMsI.exe"2⤵
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of FindShellTrayWindow
-
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"2⤵
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN3⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"4⤵
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN5⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"6⤵
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN7⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"8⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN9⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"10⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN11⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"12⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN13⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"14⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN15⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"16⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN17⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"18⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN19⤵
- System Location Discovery: System Language Discovery
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"20⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN21⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"22⤵
- System Location Discovery: System Language Discovery
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN23⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"24⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN25⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"26⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN27⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"28⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN29⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"30⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN31⤵
- Suspicious behavior: EnumeratesProcesses
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"32⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN33⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"34⤵
- System Location Discovery: System Language Discovery
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN35⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"36⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN37⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"38⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN39⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"40⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN41⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"42⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN43⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"44⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN45⤵
- System Location Discovery: System Language Discovery
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"46⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN47⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"48⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN49⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"50⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN51⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"52⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN53⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"54⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN55⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"56⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN57⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"58⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN59⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"60⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN61⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"62⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN63⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"64⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN65⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"66⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN67⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"68⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN69⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"70⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN71⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"72⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN73⤵
- System Location Discovery: System Language Discovery
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"74⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN75⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"76⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN77⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"78⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN79⤵
- System Location Discovery: System Language Discovery
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"80⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN81⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"82⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN83⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"84⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN85⤵
- System Location Discovery: System Language Discovery
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"86⤵
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV187⤵
-
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN87⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"88⤵
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV189⤵
-
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN89⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"90⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN91⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"92⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN93⤵
- System Location Discovery: System Language Discovery
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"94⤵
- System Location Discovery: System Language Discovery
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN95⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"96⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN97⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"98⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN99⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"100⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN101⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"102⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN103⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"104⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN105⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"106⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN107⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"108⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN109⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"110⤵
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1111⤵
-
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN111⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"112⤵
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1113⤵
-
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN113⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"114⤵
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1115⤵
-
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN115⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"116⤵
- System Location Discovery: System Language Discovery
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN117⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"118⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN119⤵
-
C:\Windows\SysWOW64\cmd.exeC:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN"120⤵
-
C:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN.exeC:\Users\Admin\AppData\Local\Temp\ad7b3ddb555db2bc8b163f6543973ebce16d8377935130550248b6554d6de16cN121⤵
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-