Malware Analysis Report

2024-11-13 15:28

Sample ID 241108-ynw8zaxpfs
Target Update.exe
SHA256 982007b8100703183c8b4715a57be7129a3b6c695ff971afedfaf3cdef509e7c
Tags
gurcu milleniumrat discovery persistence rat spyware stealer
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V15

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

982007b8100703183c8b4715a57be7129a3b6c695ff971afedfaf3cdef509e7c

Threat Level: Known bad

The file Update.exe was found to be: Known bad.

Malicious Activity Summary

gurcu milleniumrat discovery persistence rat spyware stealer

Milleniumrat family

Gurcu, WhiteSnake

Gurcu family

MilleniumRat

Checks computer location settings

Reads user/profile data of web browsers

Loads dropped DLL

Executes dropped EXE

Adds Run key to start application

Legitimate hosting services abused for malware hosting/C2

Looks up external IP address via web service

Enumerates processes with tasklist

Browser Information Discovery

Unsigned PE

Enumerates physical storage devices

Checks processor information in registry

Suspicious use of WriteProcessMemory

Delays execution with timeout.exe

Suspicious use of AdjustPrivilegeToken

Suspicious behavior: EnumeratesProcesses

Suspicious use of SetWindowsHookEx

Modifies registry key

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2024-11-08 19:56

Signatures

Unsigned PE

Description Indicator Process Target
N/A N/A N/A N/A

Analysis: behavioral2

Detonation Overview

Submitted

2024-11-08 19:56

Reported

2024-11-08 19:59

Platform

win10v2004-20241007-en

Max time kernel

149s

Max time network

150s

Command Line

"C:\Users\Admin\AppData\Local\Temp\Update.exe"

Signatures

Gurcu family

gurcu

Gurcu, WhiteSnake

stealer gurcu

MilleniumRat

rat stealer milleniumrat

Milleniumrat family

milleniumrat

Checks computer location settings

Description Indicator Process Target
Key value queried \REGISTRY\USER\S-1-5-21-2045521122-590294423-3465680274-1000\Control Panel\International\Geo\Nation C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-2045521122-590294423-3465680274-1000\Control Panel\International\Geo\Nation C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A

Loads dropped DLL

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A

Reads user/profile data of web browsers

spyware stealer

Adds Run key to start application

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\USER\S-1-5-21-2045521122-590294423-3465680274-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ChromeUpdate = "C:\\Users\\Admin\\AppData\\Roaming\\GoogleChromeUpdateLog\\Update.exe" C:\Windows\system32\reg.exe N/A

Legitimate hosting services abused for malware hosting/C2

Description Indicator Process Target
N/A raw.githubusercontent.com N/A N/A
N/A raw.githubusercontent.com N/A N/A
N/A raw.githubusercontent.com N/A N/A

Looks up external IP address via web service

Description Indicator Process Target
N/A ip-api.com N/A N/A

Enumerates processes with tasklist

discovery
Description Indicator Process Target
N/A N/A C:\Windows\system32\tasklist.exe N/A

Browser Information Discovery

discovery

Enumerates physical storage devices

Checks processor information in registry

Description Indicator Process Target
Key opened \REGISTRY\MACHINE\HARDWARE\Description\System\CentralProcessor\0 C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A

Delays execution with timeout.exe

evasion
Description Indicator Process Target
N/A N/A C:\Windows\system32\timeout.exe N/A

Modifies registry key

Description Indicator Process Target
N/A N/A C:\Windows\system32\reg.exe N/A

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A

Suspicious use of AdjustPrivilegeToken

Description Indicator Process Target
Token: SeDebugPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A

Suspicious use of SetWindowsHookEx

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 2156 wrote to memory of 3280 N/A C:\Users\Admin\AppData\Local\Temp\Update.exe C:\Windows\System32\cmd.exe
PID 2156 wrote to memory of 3280 N/A C:\Users\Admin\AppData\Local\Temp\Update.exe C:\Windows\System32\cmd.exe
PID 3280 wrote to memory of 2600 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\chcp.com
PID 3280 wrote to memory of 2600 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\chcp.com
PID 3280 wrote to memory of 1468 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 3280 wrote to memory of 1468 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 3280 wrote to memory of 4184 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 3280 wrote to memory of 4184 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 3280 wrote to memory of 4316 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 3280 wrote to memory of 4316 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 3280 wrote to memory of 4616 N/A C:\Windows\System32\cmd.exe C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe
PID 3280 wrote to memory of 4616 N/A C:\Windows\System32\cmd.exe C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe
PID 4616 wrote to memory of 4548 N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe C:\Windows\System32\cmd.exe
PID 4616 wrote to memory of 4548 N/A C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe C:\Windows\System32\cmd.exe
PID 4548 wrote to memory of 3488 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\reg.exe
PID 4548 wrote to memory of 3488 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\reg.exe

Processes

C:\Users\Admin\AppData\Local\Temp\Update.exe

"C:\Users\Admin\AppData\Local\Temp\Update.exe"

C:\Windows\System32\cmd.exe

"C:\Windows\System32\cmd.exe" /C C:\Users\Admin\AppData\Local\Temp\tmpD9E5.tmp.bat & Del C:\Users\Admin\AppData\Local\Temp\tmpD9E5.tmp.bat

C:\Windows\system32\chcp.com

chcp 65001

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 2156"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe

"C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe"

C:\Windows\System32\cmd.exe

"C:\Windows\System32\cmd.exe" /c reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ChromeUpdate /t REG_SZ /d C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe /f

C:\Windows\system32\reg.exe

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ChromeUpdate /t REG_SZ /d C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe /f

Network

Country Destination Domain Proto
US 8.8.8.8:53 ip-api.com udp
US 208.95.112.1:80 ip-api.com tcp
US 8.8.8.8:53 149.220.183.52.in-addr.arpa udp
US 8.8.8.8:53 1.112.95.208.in-addr.arpa udp
US 8.8.8.8:53 raw.githubusercontent.com udp
US 185.199.111.133:443 raw.githubusercontent.com tcp
US 8.8.8.8:53 133.111.199.185.in-addr.arpa udp
US 8.8.8.8:53 138.32.126.40.in-addr.arpa udp
US 8.8.8.8:53 95.221.229.192.in-addr.arpa udp
US 208.95.112.1:80 ip-api.com tcp
US 185.199.111.133:443 raw.githubusercontent.com tcp
US 8.8.8.8:53 133.211.185.52.in-addr.arpa udp
US 8.8.8.8:53 google.com udp
US 8.8.8.8:53 api.telegram.org udp
NL 149.154.167.220:443 api.telegram.org tcp
NL 149.154.167.220:443 api.telegram.org tcp
US 8.8.8.8:53 220.167.154.149.in-addr.arpa udp
NL 149.154.167.220:443 api.telegram.org tcp
US 8.8.8.8:53 50.23.12.20.in-addr.arpa udp
US 8.8.8.8:53 206.23.85.13.in-addr.arpa udp
US 8.8.8.8:53 172.210.232.199.in-addr.arpa udp
US 8.8.8.8:53 88.210.23.2.in-addr.arpa udp
NL 149.154.167.220:443 api.telegram.org tcp

Files

memory/2156-0-0x00007FF8739D3000-0x00007FF8739D5000-memory.dmp

memory/2156-1-0x0000013EB6760000-0x0000013EB6D04000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\Costura\A54E036D2DCD19384E8EA53862E0DD8F\64\sqlite.interop.dll

MD5 65ccd6ecb99899083d43f7c24eb8f869
SHA1 27037a9470cc5ed177c0b6688495f3a51996a023
SHA256 aba67c7e6c01856838b8bc6b0ba95e864e1fdcb3750aa7cdc1bc73511cea6fe4
SHA512 533900861fe36cf78b614d6a7ce741ff1172b41cbd5644b4a9542e6ca42702e6fbfb12f0fbaae8f5992320870a15e90b4f7bf180705fc9839db433413860be6d

memory/2156-6-0x0000013ED11B0000-0x0000013ED1226000-memory.dmp

memory/2156-7-0x00007FF8739D0000-0x00007FF874491000-memory.dmp

memory/2156-8-0x0000013EB8A20000-0x0000013EB8A3E000-memory.dmp

memory/2156-9-0x0000013EB8A00000-0x0000013EB8A0A000-memory.dmp

memory/2156-13-0x00007FF8739D0000-0x00007FF874491000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\tmpD9E5.tmp.bat

MD5 bb9e8fae86d3417f63e2eb5fa0d788a8
SHA1 20f38731ce0496742cb23da6943ab50b9f07a870
SHA256 ce76da5840b492537fa3fbdbf79435c731ab1c19933916728bae9b7860a05204
SHA512 988d8a3f078012201566095cddc0e411fab52ff539b3e575c5f31f28412daf30d7cbbc4454dbc8b0e5628d2cbfd068c3f4f162e5fcf6a8a58178c913c902022c

C:\Users\Admin\AppData\Roaming\GoogleChromeUpdateLog\Update.exe

MD5 f668e23b162b29408d106d7e33026df4
SHA1 f3a67a810ab1b737c3f63ee9556feee17516a6dc
SHA256 982007b8100703183c8b4715a57be7129a3b6c695ff971afedfaf3cdef509e7c
SHA512 bcda79e81dfcdd017b06137c7f6b8286492b161f6b7bf028c60e28481160120f695e1351d2ba0b967e3468e13e39388b539623d17ee734b2d5ba46db1da550bf

C:\Users\Admin\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\Update.exe.log

MD5 83c6657d5c97604293de3be7cb049812
SHA1 049e9604e0dab53524bdbdb9459f6026df675468
SHA256 cc0829436efefdd39837147e213e968d549f35faa2e519e0a038731e4711368a
SHA512 6a814aeb121606355776d864f41dc62a311a151a33eff8593a24dc0748f86519f4f9391525d1eb3d161d3f976dda3470d5c2c2abd63d888b36c0b3822c91a9f5

memory/4616-21-0x000001DB18DA0000-0x000001DB18E0A000-memory.dmp

memory/4616-23-0x000001DB19010000-0x000001DB190C2000-memory.dmp

memory/4616-24-0x000001DB7FFF0000-0x000001DB80040000-memory.dmp

memory/4616-25-0x000001DB7FF20000-0x000001DB7FF42000-memory.dmp

memory/4616-27-0x000001DB19D20000-0x000001DB19D5A000-memory.dmp

memory/4616-28-0x000001DB18A50000-0x000001DB18A76000-memory.dmp

memory/4616-29-0x000001DB19D60000-0x000001DB1A08E000-memory.dmp

memory/4616-48-0x000001DB7FEF0000-0x000001DB7FF02000-memory.dmp

Analysis: behavioral1

Detonation Overview

Submitted

2024-11-08 19:56

Reported

2024-11-08 19:59

Platform

win7-20240708-en

Max time kernel

150s

Max time network

120s

Command Line

"C:\Users\Admin\AppData\Local\Temp\Update.exe"

Signatures

Loads dropped DLL

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A

Legitimate hosting services abused for malware hosting/C2

Description Indicator Process Target
N/A raw.githubusercontent.com N/A N/A
N/A raw.githubusercontent.com N/A N/A

Looks up external IP address via web service

Description Indicator Process Target
N/A ip-api.com N/A N/A

Enumerates processes with tasklist

discovery
Description Indicator Process Target
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A
N/A N/A C:\Windows\system32\tasklist.exe N/A

Enumerates physical storage devices

Delays execution with timeout.exe

evasion
Description Indicator Process Target
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A
N/A N/A C:\Windows\system32\timeout.exe N/A

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A

Suspicious use of AdjustPrivilegeToken

Description Indicator Process Target
Token: SeDebugPrivilege N/A C:\Users\Admin\AppData\Local\Temp\Update.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\system32\tasklist.exe N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 1488 wrote to memory of 596 N/A C:\Users\Admin\AppData\Local\Temp\Update.exe C:\Windows\System32\cmd.exe
PID 1488 wrote to memory of 596 N/A C:\Users\Admin\AppData\Local\Temp\Update.exe C:\Windows\System32\cmd.exe
PID 1488 wrote to memory of 596 N/A C:\Users\Admin\AppData\Local\Temp\Update.exe C:\Windows\System32\cmd.exe
PID 596 wrote to memory of 2800 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\chcp.com
PID 596 wrote to memory of 2800 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\chcp.com
PID 596 wrote to memory of 2800 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\chcp.com
PID 596 wrote to memory of 2828 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 2828 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 2828 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 2788 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 596 wrote to memory of 2788 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 596 wrote to memory of 2788 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 596 wrote to memory of 2748 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 596 wrote to memory of 2748 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 596 wrote to memory of 2748 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 596 wrote to memory of 2760 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 2760 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 2760 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 2580 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 596 wrote to memory of 2580 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 596 wrote to memory of 2580 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 596 wrote to memory of 2856 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 596 wrote to memory of 2856 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 596 wrote to memory of 2856 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 596 wrote to memory of 2584 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 2584 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 2584 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 2680 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 596 wrote to memory of 2680 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 596 wrote to memory of 2680 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 596 wrote to memory of 2820 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 596 wrote to memory of 2820 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 596 wrote to memory of 2820 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 596 wrote to memory of 2544 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 2544 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 2544 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 2540 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 596 wrote to memory of 2540 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 596 wrote to memory of 2540 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 596 wrote to memory of 2620 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 596 wrote to memory of 2620 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 596 wrote to memory of 2620 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 596 wrote to memory of 2076 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 2076 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 2076 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 3056 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 596 wrote to memory of 3056 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 596 wrote to memory of 3056 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 596 wrote to memory of 2168 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 596 wrote to memory of 2168 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 596 wrote to memory of 2168 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 596 wrote to memory of 2024 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 2024 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 2024 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 3068 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 596 wrote to memory of 3068 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 596 wrote to memory of 3068 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe
PID 596 wrote to memory of 1972 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 596 wrote to memory of 1972 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 596 wrote to memory of 1972 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\timeout.exe
PID 596 wrote to memory of 1780 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 1780 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 1780 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\tasklist.exe
PID 596 wrote to memory of 2360 N/A C:\Windows\System32\cmd.exe C:\Windows\system32\find.exe

Processes

C:\Users\Admin\AppData\Local\Temp\Update.exe

"C:\Users\Admin\AppData\Local\Temp\Update.exe"

C:\Windows\System32\cmd.exe

"C:\Windows\System32\cmd.exe" /C C:\Users\Admin\AppData\Local\Temp\tmpF325.tmp.bat & Del C:\Users\Admin\AppData\Local\Temp\tmpF325.tmp.bat

C:\Windows\system32\chcp.com

chcp 65001

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

C:\Windows\system32\tasklist.exe

Tasklist /fi "PID eq 1488"

C:\Windows\system32\find.exe

find ":"

C:\Windows\system32\timeout.exe

Timeout /T 1 /Nobreak

Network

Country Destination Domain Proto
US 8.8.8.8:53 ip-api.com udp
US 208.95.112.1:80 ip-api.com tcp
US 8.8.8.8:53 raw.githubusercontent.com udp
US 185.199.109.133:443 raw.githubusercontent.com tcp

Files

memory/1488-0-0x000007FEF50B3000-0x000007FEF50B4000-memory.dmp

memory/1488-1-0x0000000000FB0000-0x0000000001554000-memory.dmp

\Users\Admin\AppData\Local\Temp\Costura\A54E036D2DCD19384E8EA53862E0DD8F\64\sqlite.interop.dll

MD5 65ccd6ecb99899083d43f7c24eb8f869
SHA1 27037a9470cc5ed177c0b6688495f3a51996a023
SHA256 aba67c7e6c01856838b8bc6b0ba95e864e1fdcb3750aa7cdc1bc73511cea6fe4
SHA512 533900861fe36cf78b614d6a7ce741ff1172b41cbd5644b4a9542e6ca42702e6fbfb12f0fbaae8f5992320870a15e90b4f7bf180705fc9839db433413860be6d

memory/1488-6-0x000007FEF50B0000-0x000007FEF5A9C000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\tmpF325.tmp.bat

MD5 b60cc1c2d8bb6ae494f2bc0fb94caafe
SHA1 c4dec362667827ea9a3627b6d3873cb87e49d454
SHA256 38b4dfad98db8678e1e3f48ae5fe850348b8e845f0d4cccb9fcfffb91e5a19f7
SHA512 20be86e83ec695020efd1c03a03e3c5b5a722ec4cd3f9d8e59d4a448cd7fee432fd11a06edbcc977287445f3fe908be7b7f22fd5f189f4b0bdb81ac7fd2a8343

memory/1488-10-0x000007FEF50B0000-0x000007FEF5A9C000-memory.dmp