darkcomet | 440d4014fc6f982d095902950bb05b9e7cc85faf8abdc63626ee877e2e3ea427

Analysis

max time kernel
150s
max time network
19s
platform
windows7_x64
resource
win7-20241010-en
resource tags

arch:x64arch:x86image:win7-20241010-enlocale:en-usos:windows7-x64system
submitted
01-01-2025 08:27

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Size

714KB
MD5

4e080269a6ad6d33e0be247a7fb42024
SHA1

b2706d7a82c215990e6ef158af643dff32e1b480
SHA256

440d4014fc6f982d095902950bb05b9e7cc85faf8abdc63626ee877e2e3ea427
SHA512

45e237fcb791580fb26099b3324ef5b66d498dfe6d01321cd0da8afad86e136e80b484167a7954cdbcb483343fb38b74296217a89c822800fa7d8db6ccd49f50
SSDEEP

12288:2aAchpWsuVTv7ItY8XljyypHP7cOLBev03hlULsmWZ++09ZcKDVsgdQ:nAEENIq8XwyVPQclDq/+WnpsSQ

Score

10^/10

darkcomet discovery persistence rat trojan

Malware Config

Signatures

Darkcomet
DarkComet is a remote access trojan (RAT) developed by Jean-Pierre Lesueur.
trojan rat darkcomet
Darkcomet family
darkcomet

Modifies WinLogon for persistence 2 TTPs 39 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe

Checks BIOS information in registry 2 TTPs 39 IoCs

BIOS information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe

Executes dropped EXE 39 IoCs

pid	Process
2900	csrrss.exe
3048	csrrss.exe
2848	csrrss.exe
1692	csrrss.exe
2136	csrrss.exe
608	csrrss.exe
2352	csrrss.exe
2476	csrrss.exe
912	csrrss.exe
1788	csrrss.exe
1708	csrrss.exe
1748	csrrss.exe
1236	csrrss.exe
760	csrrss.exe
2920	csrrss.exe
2792	csrrss.exe
1352	csrrss.exe
2352	csrrss.exe
2980	csrrss.exe
2072	csrrss.exe
2340	csrrss.exe
2560	csrrss.exe
2636	csrrss.exe
3032	csrrss.exe
112	csrrss.exe
2644	csrrss.exe
1152	csrrss.exe
2432	csrrss.exe
2856	csrrss.exe
2440	csrrss.exe
3012	csrrss.exe
2508	csrrss.exe
2988	csrrss.exe
1084	csrrss.exe
576	csrrss.exe
2924	csrrss.exe
1956	csrrss.exe
2400	csrrss.exe
1420	csrrss.exe

Loads dropped DLL 64 IoCs

pid	Process
2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
2900	csrrss.exe
2900	csrrss.exe
3048	csrrss.exe
3048	csrrss.exe
2848	csrrss.exe
2848	csrrss.exe
1692	csrrss.exe
1692	csrrss.exe
2136	csrrss.exe
2136	csrrss.exe
608	csrrss.exe
608	csrrss.exe
2352	csrrss.exe
2352	csrrss.exe
2476	csrrss.exe
2476	csrrss.exe
912	csrrss.exe
912	csrrss.exe
1788	csrrss.exe
1788	csrrss.exe
1708	csrrss.exe
1708	csrrss.exe
1748	csrrss.exe
1748	csrrss.exe
1236	csrrss.exe
1236	csrrss.exe
760	csrrss.exe
760	csrrss.exe
2920	csrrss.exe
2920	csrrss.exe
2792	csrrss.exe
2792	csrrss.exe
1352	csrrss.exe
1352	csrrss.exe
2352	csrrss.exe
2352	csrrss.exe
2980	csrrss.exe
2980	csrrss.exe
2072	csrrss.exe
2072	csrrss.exe
2340	csrrss.exe
2340	csrrss.exe
2560	csrrss.exe
2560	csrrss.exe
2636	csrrss.exe
2636	csrrss.exe
3032	csrrss.exe
3032	csrrss.exe
112	csrrss.exe
112	csrrss.exe
2644	csrrss.exe
2644	csrrss.exe
1152	csrrss.exe
1152	csrrss.exe
2432	csrrss.exe
2432	csrrss.exe
2856	csrrss.exe
2856	csrrss.exe
2440	csrrss.exe
2440	csrrss.exe
3012	csrrss.exe
3012	csrrss.exe

Adds Run key to start application 2 TTPs 39 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Program crash 18 IoCs

pid	pid_target	Process	procid_target
2304	2904	WerFault.exe	185
2992	1996	WerFault.exe	523
2328	760	WerFault.exe	790
2924	2064	WerFault.exe	1095
2732	2340	Process not Found	1391
2792	2988	Process not Found	1406
2860	1992	Process not Found	1744
1308	2324	Process not Found	1787
1044	3048	Process not Found	1936
964	1088	Process not Found	2330
972	1972	Process not Found	2920
2672	2880	Process not Found	2993
1824	840	Process not Found	3200
2204	1700	Process not Found	3394
1988	2996	Process not Found	3525
1064	544	Process not Found	3718
2580	2108	Process not Found	4104
916	2420	Process not Found	4123

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE

System Network Configuration Discovery: Internet Connection Discovery 1 TTPs 64 IoCs

Adversaries may check for Internet connectivity on compromised systems.

discovery

Internet Connection Discovery

T1016.001

pid	Process
2336	Process not Found
2376	PING.EXE
3056	Process not Found
844	Process not Found
1972	PING.EXE
3056	Process not Found
2832	Process not Found
2868	Process not Found
2788	PING.EXE
2556	Process not Found
2308	PING.EXE
1436	Process not Found
2028	Process not Found
2760	Process not Found
768	Process not Found
980	Process not Found
2876	PING.EXE
2996	Process not Found
2032	Process not Found
1544	PING.EXE
2460	PING.EXE
1108	Process not Found
1020	Process not Found
2252	PING.EXE
2508	Process not Found
2428	Process not Found
2824	Process not Found
2516	PING.EXE
2200	Process not Found
2896	PING.EXE
1836	Process not Found
1132	Process not Found
2580	Process not Found
3060	Process not Found
432	Process not Found
2012	Process not Found
2944	Process not Found
3048	PING.EXE
2252	PING.EXE
1960	Process not Found
764	Process not Found
2400	Process not Found
1088	PING.EXE
3032	Process not Found
3032	Process not Found
2632	Process not Found
2140	Process not Found
3000	PING.EXE
2816	PING.EXE
2940	Process not Found
2916	PING.EXE
2976	Process not Found
1820	Process not Found
1748	Process not Found
1752	Process not Found
2776	Process not Found
2660	Process not Found
2320	Process not Found
2136	Process not Found
1656	Process not Found
1928	Process not Found
452	Process not Found
1304	Process not Found
1800	Process not Found

Checks processor information in registry 2 TTPs 64 IoCs

Processor information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe

Enumerates system info in registry 2 TTPs 39 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe

Runs ping.exe 1 TTPs 64 IoCs

Remote System Discovery

T1018

pid	Process
2996	Process not Found
2852	PING.EXE
2232	Process not Found
1752	Process not Found
2580	Process not Found
944	Process not Found
2080	Process not Found
1496	Process not Found
2228	Process not Found
2248	Process not Found
1056	Process not Found
1768	Process not Found
632	Process not Found
3032	Process not Found
2192	Process not Found
1820	Process not Found
2252	PING.EXE
2316	PING.EXE
1972	PING.EXE
2840	Process not Found
1108	Process not Found
1672	Process not Found
864	Process not Found
1316	PING.EXE
1760	PING.EXE
2028	Process not Found
2160	PING.EXE
984	PING.EXE
2284	Process not Found
2660	Process not Found
2192	PING.EXE
1816	Process not Found
1620	PING.EXE
3032	Process not Found
1744	PING.EXE
2212	PING.EXE
2828	Process not Found
1808	Process not Found
1736	Process not Found
2420	Process not Found
2984	Process not Found
2132	PING.EXE
2984	Process not Found
1548	PING.EXE
1980	Process not Found
2896	Process not Found
1108	Process not Found
2824	Process not Found
2604	Process not Found
2656	PING.EXE
1208	PING.EXE
2316	Process not Found
1456	Process not Found
2972	Process not Found
2080	Process not Found
2404	Process not Found
2924	Process not Found
2800	Process not Found
2752	Process not Found
2008	PING.EXE
2588	PING.EXE
264	Process not Found
2212	Process not Found
1224	Process not Found

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeIncreaseQuotaPrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeSecurityPrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeTakeOwnershipPrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeLoadDriverPrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeSystemProfilePrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeSystemtimePrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeProfSingleProcessPrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeIncBasePriorityPrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeCreatePagefilePrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeBackupPrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeRestorePrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeShutdownPrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeDebugPrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeSystemEnvironmentPrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeChangeNotifyPrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeRemoteShutdownPrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeUndockPrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeManageVolumePrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeImpersonatePrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeCreateGlobalPrivilege	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: 33	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: 34	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: 35	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeIncreaseQuotaPrivilege	2900	csrrss.exe
Token: SeSecurityPrivilege	2900	csrrss.exe
Token: SeTakeOwnershipPrivilege	2900	csrrss.exe
Token: SeLoadDriverPrivilege	2900	csrrss.exe
Token: SeSystemProfilePrivilege	2900	csrrss.exe
Token: SeSystemtimePrivilege	2900	csrrss.exe
Token: SeProfSingleProcessPrivilege	2900	csrrss.exe
Token: SeIncBasePriorityPrivilege	2900	csrrss.exe
Token: SeCreatePagefilePrivilege	2900	csrrss.exe
Token: SeBackupPrivilege	2900	csrrss.exe
Token: SeRestorePrivilege	2900	csrrss.exe
Token: SeShutdownPrivilege	2900	csrrss.exe
Token: SeDebugPrivilege	2900	csrrss.exe
Token: SeSystemEnvironmentPrivilege	2900	csrrss.exe
Token: SeChangeNotifyPrivilege	2900	csrrss.exe
Token: SeRemoteShutdownPrivilege	2900	csrrss.exe
Token: SeUndockPrivilege	2900	csrrss.exe
Token: SeManageVolumePrivilege	2900	csrrss.exe
Token: SeImpersonatePrivilege	2900	csrrss.exe
Token: SeCreateGlobalPrivilege	2900	csrrss.exe
Token: 33	2900	csrrss.exe
Token: 34	2900	csrrss.exe
Token: 35	2900	csrrss.exe
Token: SeIncreaseQuotaPrivilege	3048	csrrss.exe
Token: SeSecurityPrivilege	3048	csrrss.exe
Token: SeTakeOwnershipPrivilege	3048	csrrss.exe
Token: SeLoadDriverPrivilege	3048	csrrss.exe
Token: SeSystemProfilePrivilege	3048	csrrss.exe
Token: SeSystemtimePrivilege	3048	csrrss.exe
Token: SeProfSingleProcessPrivilege	3048	csrrss.exe
Token: SeIncBasePriorityPrivilege	3048	csrrss.exe
Token: SeCreatePagefilePrivilege	3048	csrrss.exe
Token: SeBackupPrivilege	3048	csrrss.exe
Token: SeRestorePrivilege	3048	csrrss.exe
Token: SeShutdownPrivilege	3048	csrrss.exe
Token: SeDebugPrivilege	3048	csrrss.exe
Token: SeSystemEnvironmentPrivilege	3048	csrrss.exe
Token: SeChangeNotifyPrivilege	3048	csrrss.exe
Token: SeRemoteShutdownPrivilege	3048	csrrss.exe
Token: SeUndockPrivilege	3048	csrrss.exe
Token: SeManageVolumePrivilege	3048	csrrss.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2044 wrote to memory of 2900	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe	30
PID 2044 wrote to memory of 2900	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe	30
PID 2044 wrote to memory of 2900	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe	30
PID 2044 wrote to memory of 2900	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe	30
PID 2044 wrote to memory of 2160	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe	31
PID 2044 wrote to memory of 2160	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe	31
PID 2044 wrote to memory of 2160	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe	31
PID 2044 wrote to memory of 2160	2044	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe	31
PID 2900 wrote to memory of 3048	2900	csrrss.exe	34
PID 2900 wrote to memory of 3048	2900	csrrss.exe	34
PID 2900 wrote to memory of 3048	2900	csrrss.exe	34
PID 2900 wrote to memory of 3048	2900	csrrss.exe	34
PID 2160 wrote to memory of 3052	2160	cmd.exe	33
PID 2160 wrote to memory of 3052	2160	cmd.exe	33
PID 2160 wrote to memory of 3052	2160	cmd.exe	33
PID 2160 wrote to memory of 3052	2160	cmd.exe	33
PID 2900 wrote to memory of 3040	2900	csrrss.exe	35
PID 2900 wrote to memory of 3040	2900	csrrss.exe	35
PID 2900 wrote to memory of 3040	2900	csrrss.exe	35
PID 2900 wrote to memory of 3040	2900	csrrss.exe	35
PID 3048 wrote to memory of 2848	3048	csrrss.exe	205
PID 3048 wrote to memory of 2848	3048	csrrss.exe	205
PID 3048 wrote to memory of 2848	3048	csrrss.exe	205
PID 3048 wrote to memory of 2848	3048	csrrss.exe	205
PID 3040 wrote to memory of 2536	3040	cmd.exe	39
PID 3040 wrote to memory of 2536	3040	cmd.exe	39
PID 3040 wrote to memory of 2536	3040	cmd.exe	39
PID 3040 wrote to memory of 2536	3040	cmd.exe	39
PID 3048 wrote to memory of 2828	3048	csrrss.exe	38
PID 3048 wrote to memory of 2828	3048	csrrss.exe	38
PID 3048 wrote to memory of 2828	3048	csrrss.exe	38
PID 3048 wrote to memory of 2828	3048	csrrss.exe	38
PID 2828 wrote to memory of 264	2828	cmd.exe	41
PID 2828 wrote to memory of 264	2828	cmd.exe	41
PID 2828 wrote to memory of 264	2828	cmd.exe	41
PID 2828 wrote to memory of 264	2828	cmd.exe	41
PID 2848 wrote to memory of 1692	2848	csrrss.exe	323
PID 2848 wrote to memory of 1692	2848	csrrss.exe	323
PID 2848 wrote to memory of 1692	2848	csrrss.exe	323
PID 2848 wrote to memory of 1692	2848	csrrss.exe	323
PID 2848 wrote to memory of 2904	2848	csrrss.exe	185
PID 2848 wrote to memory of 2904	2848	csrrss.exe	185
PID 2848 wrote to memory of 2904	2848	csrrss.exe	185
PID 2848 wrote to memory of 2904	2848	csrrss.exe	185
PID 2904 wrote to memory of 3028	2904	cmd.exe	359
PID 2904 wrote to memory of 3028	2904	cmd.exe	359
PID 2904 wrote to memory of 3028	2904	cmd.exe	359
PID 2904 wrote to memory of 3028	2904	cmd.exe	359
PID 1692 wrote to memory of 2136	1692	csrrss.exe	46
PID 1692 wrote to memory of 2136	1692	csrrss.exe	46
PID 1692 wrote to memory of 2136	1692	csrrss.exe	46
PID 1692 wrote to memory of 2136	1692	csrrss.exe	46
PID 1692 wrote to memory of 2560	1692	csrrss.exe	260
PID 1692 wrote to memory of 2560	1692	csrrss.exe	260
PID 1692 wrote to memory of 2560	1692	csrrss.exe	260
PID 1692 wrote to memory of 2560	1692	csrrss.exe	260
PID 2560 wrote to memory of 452	2560	cmd.exe	278
PID 2560 wrote to memory of 452	2560	cmd.exe	278
PID 2560 wrote to memory of 452	2560	cmd.exe	278
PID 2560 wrote to memory of 452	2560	cmd.exe	278
PID 2136 wrote to memory of 608	2136	csrrss.exe	357
PID 2136 wrote to memory of 608	2136	csrrss.exe	357
PID 2136 wrote to memory of 608	2136	csrrss.exe	357
PID 2136 wrote to memory of 608	2136	csrrss.exe	357

C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
"C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe"
1⤵
- Modifies WinLogon for persistence
- Checks BIOS information in registry
- Loads dropped DLL
- Adds Run key to start application
- Drops file in System32 directory
- System Location Discovery: System Language Discovery
- Checks processor information in registry
- Enumerates system info in registry
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:2044
- C:\Windows\SysWOW64\Windupdt\csrrss.exe
  "C:\Windows\system32\Windupdt\csrrss.exe"
  2⤵
  - Modifies WinLogon for persistence
  - Checks BIOS information in registry
  - Executes dropped EXE
  - Loads dropped DLL
  - Adds Run key to start application
  - Drops file in System32 directory
  - Enumerates system info in registry
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:2900
- - C:\Windows\SysWOW64\Windupdt\csrrss.exe
    "C:\Windows\system32\Windupdt\csrrss.exe"
    3⤵
    - Modifies WinLogon for persistence
    - Checks BIOS information in registry
    - Executes dropped EXE
    - Loads dropped DLL
    - Adds Run key to start application
    - Drops file in System32 directory
    - System Location Discovery: System Language Discovery
    - Checks processor information in registry
    - Enumerates system info in registry
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:3048
  - - C:\Windows\SysWOW64\Windupdt\csrrss.exe
      "C:\Windows\system32\Windupdt\csrrss.exe"
      4⤵
      Modifies WinLogon for persistence
      Checks BIOS information in registry
      Executes dropped EXE
      Loads dropped DLL
      Adds Run key to start application
      Drops file in System32 directory
      System Location Discovery: System Language Discovery
      Checks processor information in registry
      Enumerates system info in registry
      Suspicious use of WriteProcessMemory
      PID:2848
    - - C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        5⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        Suspicious use of WriteProcessMemory
        
        PID:1692
      - C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        6⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        Suspicious use of WriteProcessMemory
        
        PID:2136
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        7⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:608
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2352
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        9⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2476
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        10⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:912
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        11⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1788
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        12⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1708
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        13⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1748
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        14⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1236
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        15⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:760
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        16⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2920
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        17⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2792
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        18⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1352
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        19⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2352
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        20⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2980
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        21⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2072
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        22⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2340
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        23⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:2560
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        24⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2636
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        25⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:3032
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        26⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:112
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        27⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2644
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        28⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1152
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        29⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2432
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        30⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2856
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        31⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2440
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        32⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:3012
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        33⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2508
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        34⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2988
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        35⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1084
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        36⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:576
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        37⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2924
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        38⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1956
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        39⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2400
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        40⤵
        Executes dropped EXE
        
        PID:1420
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        41⤵
        
        PID:2904
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        42⤵
        
        PID:760
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        43⤵
        
        PID:944
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        44⤵
        
        PID:2844
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        45⤵
        
        PID:2452
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        46⤵
        
        PID:1952
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        47⤵
        
        PID:2444
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        48⤵
        
        PID:1132
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        49⤵
        
        PID:624
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        50⤵
        
        PID:2924
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        51⤵
        
        PID:1960
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        52⤵
        
        PID:1760
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        53⤵
        
        PID:888
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        54⤵
        
        PID:1804
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        55⤵
        
        PID:2004
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        56⤵
        
        PID:3008
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        57⤵
        
        PID:2476
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        58⤵
        
        PID:1968
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        59⤵
        
        PID:2344
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        60⤵
        
        PID:1700
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        61⤵
        
        PID:2260
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        62⤵
        
        PID:2924
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        63⤵
        
        PID:3016
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        64⤵
        
        PID:2200
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        65⤵
        
        PID:2208
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        66⤵
        
        PID:2764
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        67⤵
        
        PID:3048
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        68⤵
        
        PID:2148
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        69⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        70⤵
        
        PID:2376
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        71⤵
        
        PID:2480
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        72⤵
        
        PID:1128
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        73⤵
        
        PID:3040
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        74⤵
        
        PID:2760
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        75⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        76⤵
        
        PID:1692
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        77⤵
        
        PID:2664
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        78⤵
        
        PID:1808
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        79⤵
        
        PID:2212
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        80⤵
        
        PID:2220
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        81⤵
        
        PID:1056
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        82⤵
        
        PID:2412
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        83⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        84⤵
        
        PID:2468
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        85⤵
        
        PID:2008
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        86⤵
        
        PID:112
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        87⤵
        
        PID:696
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        88⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        89⤵
        
        PID:2516
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        90⤵
        
        PID:904
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        91⤵
        
        PID:276
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        92⤵
        
        PID:1040
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        93⤵
        
        PID:680
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        94⤵
        
        PID:3012
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        95⤵
        
        PID:2268
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        96⤵
        
        PID:2064
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        97⤵
        
        PID:668
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        98⤵
        
        PID:2288
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        99⤵
        
        PID:2180
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        100⤵
        
        PID:2764
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        101⤵
        
        PID:1868
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        102⤵
        
        PID:2732
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        103⤵
        
        PID:1564
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        104⤵
        
        PID:2060
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        105⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        106⤵
        
        PID:2412
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        107⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        108⤵
        
        PID:1660
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        109⤵
        
        PID:2348
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        110⤵
        
        PID:2464
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        111⤵
        
        PID:2184
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        112⤵
        
        PID:2884
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        113⤵
        
        PID:1408
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        114⤵
        
        PID:1496
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        115⤵
        
        PID:2160
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        116⤵
        
        PID:2224
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        117⤵
        
        PID:2044
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        118⤵
        
        PID:2284
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        119⤵
        
        PID:2480
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        120⤵
        
        PID:1836
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        121⤵
        
        PID:2352
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        122⤵
        
        PID:2420
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        123⤵
        
        PID:2556
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        124⤵
        
        PID:2192
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        125⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        126⤵
        
        PID:1996
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        127⤵
        
        PID:2436
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        128⤵
        
        PID:2344
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        129⤵
        
        PID:3016
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        130⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        131⤵
        
        PID:3044
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        132⤵
        
        PID:980
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        133⤵
        
        PID:2916
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        134⤵
        
        PID:1016
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        135⤵
        
        PID:1952
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        136⤵
        
        PID:1564
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        137⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        138⤵
        
        PID:2032
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        139⤵
        
        PID:2128
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        140⤵
        
        PID:1972
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        141⤵
        
        PID:2364
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        142⤵
        
        PID:1788
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        143⤵
        
        PID:1316
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        144⤵
        
        PID:2336
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        145⤵
        
        PID:2820
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        146⤵
        
        PID:2600
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        147⤵
        
        PID:2556
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        148⤵
        
        PID:2628
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        149⤵
        
        PID:940
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        150⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        151⤵
        
        PID:2032
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        152⤵
        
        PID:1660
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        153⤵
        
        PID:972
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        154⤵
        
        PID:2208
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        155⤵
        
        PID:2372
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        156⤵
        
        PID:984
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        157⤵
        
        PID:2336
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        158⤵
        
        PID:1716
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        159⤵
        
        PID:2140
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        160⤵
        
        PID:2776
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        161⤵
        
        PID:2952
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        162⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        163⤵
        
        PID:2816
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        164⤵
        
        PID:576
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        165⤵
        
        PID:2032
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        166⤵
        
        PID:1780
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        167⤵
        
        PID:2484
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        168⤵
        
        PID:544
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        169⤵
        
        PID:2400
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        170⤵
        
        PID:2336
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        171⤵
        
        PID:2468
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        172⤵
        
        PID:2556
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        173⤵
        
        PID:1760
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        174⤵
        
        PID:1348
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        175⤵
        
        PID:1508
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        176⤵
        
        PID:1804
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        177⤵
        
        PID:2804
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        178⤵
        
        PID:1780
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        179⤵
        
        PID:2500
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        180⤵
        
        PID:1016
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        181⤵
        
        PID:2284
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        182⤵
        
        PID:2040
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        183⤵
        
        PID:2812
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        184⤵
        
        PID:2956
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        185⤵
        
        PID:2028
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        186⤵
        
        PID:3068
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        187⤵
        
        PID:1572
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        188⤵
        
        PID:2116
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        189⤵
        
        PID:2632
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        190⤵
        
        PID:2892
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        191⤵
        
        PID:1308
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        192⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        193⤵
        
        PID:760
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        194⤵
        
        PID:2840
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        195⤵
        
        PID:2556
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        196⤵
        
        PID:1768
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        197⤵
        
        PID:1348
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        198⤵
        
        PID:1364
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        199⤵
        
        PID:2732
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        200⤵
        
        PID:1496
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        201⤵
        
        PID:2280
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        202⤵
        
        PID:2984
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        203⤵
        
        PID:2148
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        204⤵
        
        PID:2056
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        205⤵
        
        PID:2264
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        206⤵
        
        PID:1836
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        207⤵
        
        PID:1612
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        208⤵
        
        PID:1400
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        209⤵
        
        PID:1084
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        210⤵
        
        PID:2932
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        211⤵
        
        PID:2616
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        212⤵
        
        PID:1080
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        213⤵
        
        PID:2288
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        214⤵
        
        PID:1548
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        215⤵
        
        PID:2952
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        216⤵
        
        PID:2376
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        217⤵
        
        PID:2508
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        218⤵
        
        PID:2232
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        219⤵
        
        PID:2904
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        220⤵
        
        PID:2996
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        221⤵
        
        PID:544
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        222⤵
        
        PID:2892
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        223⤵
        
        PID:2052
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        224⤵
        
        PID:1208
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        225⤵
        
        PID:2132
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        226⤵
        
        PID:2896
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        227⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        228⤵
        
        PID:1508
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        229⤵
        
        PID:1960
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        230⤵
        
        PID:2860
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        231⤵
        
        PID:2504
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        232⤵
        
        PID:1400
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        233⤵
        
        PID:544
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        234⤵
        
        PID:2884
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        235⤵
        
        PID:820
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        236⤵
        
        PID:960
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        237⤵
        
        PID:1028
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        238⤵
        
        PID:2200
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        239⤵
        
        PID:2896
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        240⤵
        
        PID:1492
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        241⤵
        
        PID:2564
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        242⤵
        
        PID:2208
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        243⤵
        
        PID:3036
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        244⤵
        
        PID:1624
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        245⤵
        
        PID:1400
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        246⤵
        
        PID:1548
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        247⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        248⤵
        
        PID:2364
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        249⤵
        
        PID:928
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        250⤵
        
        PID:668
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        251⤵
        
        PID:2256
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        252⤵
        
        PID:2540
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        253⤵
        
        PID:1616
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        254⤵
        
        PID:580
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        255⤵
        
        PID:1784
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        256⤵
        
        PID:2224
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        257⤵
        
        PID:2376
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        258⤵
        
        PID:1308
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        259⤵
        
        PID:2420
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        260⤵
        
        PID:2364
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        261⤵
        
        PID:2204
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        262⤵
        
        PID:2232
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        263⤵
        
        PID:2700
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        264⤵
        
        PID:2540
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        265⤵
        
        PID:2596
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        266⤵
        
        PID:2136
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        267⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        268⤵
        
        PID:2268
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        269⤵
        
        PID:1232
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        270⤵
        
        PID:2064
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        271⤵
        
        PID:1508
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        272⤵
        
        PID:1824
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        273⤵
        
        PID:932
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        274⤵
        
        PID:1164
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        275⤵
        
        PID:1192
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        276⤵
        
        PID:1680
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        277⤵
        
        PID:2596
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        278⤵
        
        PID:2292
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        279⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        280⤵
        
        PID:888
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        281⤵
        
        PID:2588
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        282⤵
        
        PID:3000
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        283⤵
        
        PID:1508
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        284⤵
        
        PID:1700
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        285⤵
        
        PID:2436
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        286⤵
        
        PID:580
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        287⤵
        
        PID:1944
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        288⤵
        
        PID:1080
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        289⤵
        
        PID:2000
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        290⤵
        
        PID:2420
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        291⤵
        
        PID:1348
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        292⤵
        
        PID:2408
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        293⤵
        
        PID:1712
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        294⤵
        
        PID:2608
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        295⤵
        
        PID:2404
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        296⤵
        
        PID:2120
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        297⤵
        
        PID:2248
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        298⤵
        
        PID:1088
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        299⤵
        
        PID:2200
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        300⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        301⤵
        
        PID:2452
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        302⤵
        
        PID:864
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        303⤵
        
        PID:1312
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        304⤵
        
        PID:2220
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        305⤵
        
        PID:1552
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        306⤵
        
        PID:2208
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        307⤵
        
        PID:2836
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        308⤵
        
        PID:2760
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        309⤵
        
        PID:2248
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        310⤵
        
        PID:2596
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        311⤵
        
        PID:1424
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        312⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        313⤵
        
        PID:1988
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        314⤵
        
        PID:2540
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        315⤵
        
        PID:1616
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        316⤵
        
        PID:1364
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        317⤵
        
        PID:1996
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        318⤵
        
        PID:2208
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        319⤵
        
        PID:2356
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        320⤵
        
        PID:1028
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        321⤵
        
        PID:1652
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        322⤵
        
        PID:1928
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        323⤵
        
        PID:900
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        324⤵
        
        PID:2328
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        325⤵
        
        PID:2964
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        326⤵
        
        PID:1164
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        327⤵
        
        PID:632
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        328⤵
        
        PID:1600
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        329⤵
        
        PID:3012
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        330⤵
        
        PID:3036
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        331⤵
        
        PID:2904
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        332⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        333⤵
        
        PID:1128
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        334⤵
        
        PID:2320
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        335⤵
        
        PID:2664
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        336⤵
        
        PID:264
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        337⤵
        
        PID:2044
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        338⤵
        
        PID:3016
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        339⤵
        
        PID:2204
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        340⤵
        
        PID:2932
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        341⤵
        
        PID:1016
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        341⤵
        
        PID:2268
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        342⤵
        
        PID:2920
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        340⤵
        
        PID:2632
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        341⤵
        
        PID:1540
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        339⤵
        
        PID:2644
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        340⤵
        
        PID:3064
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        338⤵
        
        PID:2656
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        339⤵
        
        PID:2776
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        337⤵
        
        PID:2476
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        338⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2308
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        336⤵
        
        PID:1528
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        337⤵
        
        PID:1204
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        335⤵
        
        PID:864
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        336⤵
        
        PID:3068
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        334⤵
        
        PID:1496
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        335⤵
        
        PID:2996
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        333⤵
        
        PID:2480
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        334⤵
        
        PID:1572
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        332⤵
        
        PID:2116
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        333⤵
        
        PID:2520
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        331⤵
        
        PID:2024
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        332⤵
        
        PID:1800
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        330⤵
        
        PID:1168
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        331⤵
        Runs ping.exe
        
        PID:1548
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        329⤵
        
        PID:1700
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        330⤵
        
        PID:2124
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        328⤵
        
        PID:1356
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        329⤵
        
        PID:1736
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        327⤵
        
        PID:1364
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        328⤵
        
        PID:112
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        326⤵
        
        PID:2384
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        327⤵
        
        PID:1796
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        325⤵
        
        PID:1460
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        326⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        324⤵
        
        PID:1764
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        325⤵
        
        PID:1408
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        323⤵
        
        PID:1672
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        324⤵
        Runs ping.exe
        
        PID:2852
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        322⤵
        
        PID:2968
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        323⤵
        
        PID:984
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        321⤵
        
        PID:2140
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        322⤵
        
        PID:1540
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        320⤵
        
        PID:1304
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        321⤵
        
        PID:904
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        319⤵
        
        PID:2836
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        320⤵
        
        PID:2988
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        318⤵
        
        PID:1084
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        319⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        317⤵
        
        PID:2152
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        318⤵
        
        PID:836
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        316⤵
        
        PID:2780
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        317⤵
        
        PID:1320
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        315⤵
        
        PID:1812
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        316⤵
        
        PID:2228
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        314⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        315⤵
        
        PID:2952
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        313⤵
        
        PID:3004
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        314⤵
        Runs ping.exe
        
        PID:2588
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        312⤵
        
        PID:2056
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        313⤵
        
        PID:1588
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        311⤵
        
        PID:1800
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        312⤵
        
        PID:2432
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        310⤵
        
        PID:2200
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        309⤵
        
        PID:1548
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        310⤵
        
        PID:2284
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        308⤵
        
        PID:2240
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        309⤵
        Runs ping.exe
        
        PID:1972
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        307⤵
        
        PID:1700
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        308⤵
        
        PID:2148
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        306⤵
        
        PID:1816
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        307⤵
        
        PID:756
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        305⤵
        
        PID:564
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        306⤵
        
        PID:1236
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        304⤵
        
        PID:2984
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        305⤵
        
        PID:2852
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        303⤵
        
        PID:2444
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        304⤵
        
        PID:916
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        302⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        303⤵
        
        PID:900
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        301⤵
        
        PID:2140
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        302⤵
        
        PID:2896
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        300⤵
        
        PID:2308
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        301⤵
        
        PID:2028
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        299⤵
        
        PID:960
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        300⤵
        
        PID:1304
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        298⤵
        
        PID:1736
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        299⤵
        
        PID:2176
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        297⤵
        
        PID:2700
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        298⤵
        
        PID:2360
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        296⤵
        
        PID:2368
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        297⤵
        
        PID:1768
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        295⤵
        
        PID:1812
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        296⤵
        
        PID:2992
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        294⤵
        
        PID:3000
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        295⤵
        
        PID:608
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        293⤵
        
        PID:2592
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        294⤵
        
        PID:1460
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        292⤵
        
        PID:3024
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        293⤵
        
        PID:764
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        291⤵
        
        PID:1516
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        292⤵
        
        PID:2552
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        290⤵
        
        PID:1760
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        291⤵
        
        PID:1424
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        289⤵
        
        PID:964
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        290⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        288⤵
        
        PID:2464
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        289⤵
        
        PID:2944
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        287⤵
        
        PID:1564
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        288⤵
        
        PID:2976
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        286⤵
        
        PID:2972
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        287⤵
        
        PID:872
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        285⤵
        
        PID:576
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        286⤵
        
        PID:2380
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        284⤵
        
        PID:840
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        285⤵
        
        PID:2516
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        283⤵
        
        PID:1584
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        284⤵
        
        PID:2460
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        282⤵
        
        PID:2508
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        283⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2896
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        281⤵
        
        PID:2256
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        282⤵
        
        PID:2940
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        280⤵
        
        PID:2268
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        281⤵
        
        PID:2676
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        279⤵
        
        PID:1544
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        280⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2376
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        278⤵
        
        PID:2324
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        279⤵
        
        PID:2224
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        277⤵
        
        PID:2760
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        278⤵
        
        PID:624
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        276⤵
        
        PID:2704
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        277⤵
        
        PID:1784
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        275⤵
        
        PID:1064
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        276⤵
        
        PID:2836
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        274⤵
        
        PID:1256
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        275⤵
        
        PID:560
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        273⤵
        
        PID:1532
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        274⤵
        
        PID:2044
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        272⤵
        
        PID:2276
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        273⤵
        
        PID:2552
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2064 -s 496
        271⤵
        Program crash
        
        PID:2924
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        270⤵
        
        PID:984
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        271⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        269⤵
        
        PID:612
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        270⤵
        
        PID:112
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        268⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        269⤵
        
        PID:756
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        267⤵
        
        PID:872
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        268⤵
        
        PID:980
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        266⤵
        
        PID:2148
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        267⤵
        
        PID:1324
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        265⤵
        
        PID:1456
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        266⤵
        
        PID:1600
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        264⤵
        
        PID:1312
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        265⤵
        Runs ping.exe
        
        PID:2192
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        263⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        264⤵
        
        PID:1808
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        262⤵
        
        PID:944
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        263⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3048
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        261⤵
        
        PID:2560
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        262⤵
        
        PID:2932
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        260⤵
        
        PID:2180
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        261⤵
        
        PID:2212
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        259⤵
        
        PID:2956
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        260⤵
        
        PID:2040
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        258⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        259⤵
        
        PID:1660
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        257⤵
        
        PID:1080
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        258⤵
        
        PID:2288
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        256⤵
        
        PID:2600
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        257⤵
        
        PID:836
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        255⤵
        
        PID:2632
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        256⤵
        
        PID:2836
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        254⤵
        
        PID:2052
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        255⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2816
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        253⤵
        
        PID:3068
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        254⤵
        
        PID:1004
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        252⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        253⤵
        
        PID:2444
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        251⤵
        
        PID:1800
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        252⤵
        
        PID:1492
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        250⤵
        
        PID:2160
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        249⤵
        
        PID:2408
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        250⤵
        
        PID:984
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        248⤵
        
        PID:912
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        249⤵
        
        PID:940
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        247⤵
        
        PID:1016
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        248⤵
        
        PID:1768
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        246⤵
        
        PID:1644
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        247⤵
        
        PID:864
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        245⤵
        
        PID:544
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        246⤵
        
        PID:1708
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        244⤵
        
        PID:2124
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        245⤵
        
        PID:2704
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        243⤵
        
        PID:2244
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        244⤵
        
        PID:2120
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        242⤵
        
        PID:2576
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        243⤵
        
        PID:2948
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        241⤵
        
        PID:1764
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        242⤵
        
        PID:1656
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        240⤵
        
        PID:2804
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        241⤵
        
        PID:2028
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        239⤵
        
        PID:1128
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        240⤵
        
        PID:520
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        238⤵
        
        PID:2216
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        239⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        237⤵
        
        PID:536
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        238⤵
        
        PID:1872
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        236⤵
        
        PID:1736
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        237⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2876
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        235⤵
        
        PID:2316
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        236⤵
        
        PID:2792
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        234⤵
        
        PID:2936
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        235⤵
        
        PID:2052
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        233⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        234⤵
        
        PID:1164
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        232⤵
        
        PID:2272
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        233⤵
        
        PID:1552
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        231⤵
        
        PID:3060
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        232⤵
        
        PID:1988
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        230⤵
        
        PID:2336
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        231⤵
        
        PID:2904
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        229⤵
        
        PID:2184
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        230⤵
        
        PID:3008
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        228⤵
        
        PID:2256
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        229⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2788
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        227⤵
        
        PID:1232
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        228⤵
        
        PID:2476
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        226⤵
        
        PID:2368
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        227⤵
        
        PID:872
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        225⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        226⤵
        Runs ping.exe
        
        PID:1620
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        224⤵
        
        PID:2224
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        225⤵
        
        PID:2816
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        223⤵
        
        PID:1996
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        224⤵
        
        PID:1588
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        222⤵
        
        PID:1084
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        223⤵
        
        PID:3068
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        221⤵
        
        PID:3048
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        222⤵
        
        PID:1764
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        220⤵
        
        PID:2204
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        221⤵
        
        PID:2624
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        219⤵
        
        PID:1260
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        220⤵
        
        PID:2060
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        218⤵
        
        PID:756
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        219⤵
        
        PID:2876
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        217⤵
        
        PID:1796
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        218⤵
        
        PID:1516
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        216⤵
        
        PID:2600
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        217⤵
        Runs ping.exe
        
        PID:1760
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        215⤵
        
        PID:2432
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        216⤵
        
        PID:1600
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        214⤵
        
        PID:3004
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        215⤵
        
        PID:1248
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        213⤵
        
        PID:1496
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        214⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        212⤵
        
        PID:1716
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        213⤵
        
        PID:2196
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        211⤵
        
        PID:2676
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        212⤵
        
        PID:932
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        210⤵
        
        PID:2336
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        211⤵
        
        PID:1132
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        209⤵
        
        PID:1544
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        210⤵
        
        PID:2032
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        208⤵
        
        PID:980
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        209⤵
        
        PID:2476
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        207⤵
        
        PID:2000
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        208⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:1088
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        206⤵
        
        PID:1040
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        207⤵
        
        PID:1876
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        205⤵
        
        PID:1108
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        206⤵
        
        PID:2132
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        204⤵
        
        PID:2704
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        205⤵
        Runs ping.exe
        
        PID:2316
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        203⤵
        
        PID:1356
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        204⤵
        
        PID:2552
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        202⤵
        
        PID:588
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        203⤵
        
        PID:2992
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        201⤵
        
        PID:1988
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        202⤵
        
        PID:3060
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        200⤵
        
        PID:2372
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        201⤵
        
        PID:2664
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        199⤵
        
        PID:1968
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        200⤵
        
        PID:2384
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        198⤵
        
        PID:2964
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        199⤵
        
        PID:2844
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        197⤵
        
        PID:2180
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        198⤵
        
        PID:2268
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        196⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        197⤵
        
        PID:2376
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        195⤵
        
        PID:2792
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        196⤵
        
        PID:1832
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 760 -s 496
        194⤵
        Program crash
        
        PID:2328
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        193⤵
        
        PID:2896
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        194⤵
        
        PID:928
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        192⤵
        
        PID:932
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        193⤵
        
        PID:1132
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        191⤵
        
        PID:560
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        192⤵
        
        PID:900
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        190⤵
        
        PID:2588
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        191⤵
        
        PID:2140
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        189⤵
        
        PID:2096
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        190⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:1544
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        188⤵
        
        PID:1692
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        189⤵
        Runs ping.exe
        
        PID:2212
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        187⤵
        
        PID:2452
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        188⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        186⤵
        
        PID:2156
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        187⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        185⤵
        
        PID:1108
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        186⤵
        
        PID:1168
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        184⤵
        
        PID:2884
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        185⤵
        
        PID:2368
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        183⤵
        
        PID:1680
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        184⤵
        
        PID:2836
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        182⤵
        
        PID:3020
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        183⤵
        
        PID:2952
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        181⤵
        
        PID:2992
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        182⤵
        
        PID:2380
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        180⤵
        
        PID:2664
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        181⤵
        
        PID:2340
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        179⤵
        
        PID:2536
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        180⤵
        
        PID:1656
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        178⤵
        
        PID:1652
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        179⤵
        
        PID:756
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        177⤵
        
        PID:2420
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        178⤵
        Runs ping.exe
        
        PID:984
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        176⤵
        
        PID:1832
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        177⤵
        
        PID:1004
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        175⤵
        
        PID:1420
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        176⤵
        
        PID:1824
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        174⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        175⤵
        Runs ping.exe
        
        PID:2132
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        173⤵
        
        PID:1624
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        174⤵
        
        PID:924
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        172⤵
        
        PID:2776
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        173⤵
        
        PID:900
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        171⤵
        
        PID:1148
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        172⤵
        
        PID:2564
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        170⤵
        
        PID:452
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        171⤵
        
        PID:2196
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        169⤵
        
        PID:2476
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        170⤵
        
        PID:1544
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        168⤵
        
        PID:2356
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        169⤵
        
        PID:2512
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        167⤵
        
        PID:1816
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        168⤵
        
        PID:2964
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        166⤵
        
        PID:3048
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        167⤵
        
        PID:3024
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        165⤵
        
        PID:1660
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        166⤵
        
        PID:1088
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        164⤵
        
        PID:3016
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        165⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:1972
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        163⤵
        
        PID:1944
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        164⤵
        
        PID:1164
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        162⤵
        
        PID:1700
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        163⤵
        
        PID:2264
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        161⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        162⤵
        
        PID:2284
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        160⤵
        
        PID:1308
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        161⤵
        
        PID:1492
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        159⤵
        
        PID:1652
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        160⤵
        
        PID:2540
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        158⤵
        
        PID:2060
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        159⤵
        
        PID:2632
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        157⤵
        
        PID:432
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        158⤵
        
        PID:1232
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        156⤵
        
        PID:872
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        157⤵
        
        PID:2156
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        155⤵
        
        PID:1040
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        156⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2252
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        154⤵
        
        PID:2136
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        155⤵
        
        PID:924
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        153⤵
        
        PID:2056
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        154⤵
        
        PID:2704
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        152⤵
        
        PID:1988
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        153⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        151⤵
        
        PID:2624
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        152⤵
        
        PID:2972
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        150⤵
        
        PID:1352
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        151⤵
        
        PID:2984
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        149⤵
        
        PID:3036
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        150⤵
        
        PID:2580
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        148⤵
        
        PID:2400
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        149⤵
        
        PID:2964
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        147⤵
        
        PID:2272
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        148⤵
        
        PID:1744
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        146⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        147⤵
        
        PID:2732
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        145⤵
        
        PID:2560
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        146⤵
        
        PID:1632
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        144⤵
        
        PID:2464
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        145⤵
        
        PID:2232
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        143⤵
        
        PID:576
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        144⤵
        
        PID:2968
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        142⤵
        
        PID:2740
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        143⤵
        
        PID:556
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        141⤵
        
        PID:2860
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        142⤵
        
        PID:1736
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        140⤵
        
        PID:1968
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        141⤵
        
        PID:112
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        139⤵
        
        PID:3040
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        140⤵
        
        PID:2944
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        138⤵
        
        PID:2384
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        139⤵
        
        PID:2788
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        137⤵
        
        PID:1444
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        138⤵
        
        PID:3060
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        136⤵
        
        PID:984
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        137⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        135⤵
        
        PID:2940
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        136⤵
        
        PID:544
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        134⤵
        
        PID:1588
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        135⤵
        
        PID:1236
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        133⤵
        
        PID:2000
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        134⤵
        
        PID:612
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        132⤵
        
        PID:2624
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        133⤵
        
        PID:2892
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        131⤵
        
        PID:1324
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        132⤵
        
        PID:2020
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        130⤵
        
        PID:1352
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        131⤵
        
        PID:1624
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        129⤵
        
        PID:2952
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        130⤵
        
        PID:2452
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        128⤵
        
        PID:2628
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        129⤵
        Runs ping.exe
        
        PID:1744
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1996 -s 496
        127⤵
        Program crash
        
        PID:2992
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        126⤵
        
        PID:2676
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        127⤵
        Runs ping.exe
        
        PID:2160
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        125⤵
        
        PID:1816
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        126⤵
        
        PID:432
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        124⤵
        
        PID:912
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        125⤵
        
        PID:2324
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        123⤵
        
        PID:1348
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        124⤵
        
        PID:2336
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        122⤵
        
        PID:2848
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        123⤵
        
        PID:1316
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        121⤵
        
        PID:3020
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        122⤵
        
        PID:1516
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        120⤵
        
        PID:1164
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        121⤵
        
        PID:1968
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        119⤵
        
        PID:2216
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        120⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3000
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        118⤵
        
        PID:2972
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        119⤵
        
        PID:944
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        117⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        118⤵
        
        PID:2576
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        116⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        117⤵
        
        PID:2408
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        115⤵
        
        PID:2636
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        116⤵
        
        PID:924
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        114⤵
        
        PID:1760
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        115⤵
        
        PID:2220
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        113⤵
        
        PID:836
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        114⤵
        
        PID:2308
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        112⤵
        
        PID:2232
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        113⤵
        
        PID:2916
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        111⤵
        
        PID:1552
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        112⤵
        Runs ping.exe
        
        PID:1208
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        110⤵
        
        PID:1456
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        111⤵
        
        PID:2300
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        109⤵
        
        PID:892
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        110⤵
        
        PID:2024
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        108⤵
        
        PID:840
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        109⤵
        
        PID:2952
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        107⤵
        
        PID:2908
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        108⤵
        
        PID:3008
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        106⤵
        
        PID:2896
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        107⤵
        
        PID:1800
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        105⤵
        
        PID:1748
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        106⤵
        
        PID:1304
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        104⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        105⤵
        
        PID:1264
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        103⤵
        
        PID:1828
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        104⤵
        
        PID:2968
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        102⤵
        
        PID:2212
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        103⤵
        
        PID:1016
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        101⤵
        
        PID:2292
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        102⤵
        
        PID:2312
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        100⤵
        
        PID:2328
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        101⤵
        
        PID:864
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        99⤵
        
        PID:1836
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        100⤵
        
        PID:2428
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        98⤵
        
        PID:1132
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        99⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        97⤵
        
        PID:1080
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        98⤵
        
        PID:2140
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        96⤵
        
        PID:2912
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        97⤵
        
        PID:940
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        95⤵
        
        PID:2956
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        96⤵
        
        PID:520
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        94⤵
        
        PID:2800
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        95⤵
        
        PID:2432
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        93⤵
        
        PID:1508
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        94⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2460
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        92⤵
        
        PID:2004
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        93⤵
        
        PID:1820
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        91⤵
        
        PID:1632
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        92⤵
        
        PID:2072
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        90⤵
        
        PID:2632
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        91⤵
        
        PID:1308
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        89⤵
        
        PID:2984
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        90⤵
        
        PID:1700
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        88⤵
        
        PID:2028
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        89⤵
        
        PID:1424
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        87⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        88⤵
        
        PID:1364
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        86⤵
        
        PID:2584
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        87⤵
        
        PID:2356
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        85⤵
        
        PID:2408
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        86⤵
        
        PID:1572
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        84⤵
        
        PID:608
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        85⤵
        
        PID:3028
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        83⤵
        
        PID:1716
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        84⤵
        
        PID:536
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        82⤵
        
        PID:2436
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        83⤵
        
        PID:1460
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        81⤵
        
        PID:3064
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        82⤵
        
        PID:2916
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        80⤵
        
        PID:1644
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        81⤵
        
        PID:1324
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        79⤵
        
        PID:3004
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        80⤵
        
        PID:972
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        78⤵
        
        PID:2464
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        79⤵
        
        PID:2116
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        77⤵
        
        PID:1080
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        78⤵
        
        PID:1532
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        76⤵
        
        PID:1816
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        77⤵
        
        PID:2064
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        75⤵
        
        PID:2592
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        76⤵
        
        PID:1992
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        74⤵
        
        PID:1820
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        75⤵
        
        PID:1004
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        73⤵
        
        PID:1016
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        74⤵
        
        PID:2384
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        72⤵
        
        PID:2260
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        73⤵
        
        PID:2176
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        71⤵
        
        PID:2404
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        72⤵
        
        PID:2304
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        70⤵
        
        PID:2300
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        71⤵
        
        PID:904
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        69⤵
        
        PID:1988
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        70⤵
        
        PID:1780
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        68⤵
        
        PID:1788
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        69⤵
        
        PID:2248
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        67⤵
        
        PID:3008
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        68⤵
        
        PID:1812
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        66⤵
        
        PID:1108
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        67⤵
        
        PID:2776
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        65⤵
        
        PID:900
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        66⤵
        
        PID:1572
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        64⤵
        
        PID:2008
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        65⤵
        
        PID:3028
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        63⤵
        
        PID:2104
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        64⤵
        
        PID:2468
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        62⤵
        
        PID:916
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        63⤵
        
        PID:1748
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        61⤵
        
        PID:564
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        62⤵
        
        PID:560
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        60⤵
        
        PID:2560
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        61⤵
        
        PID:2184
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        59⤵
        
        PID:2116
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        60⤵
        
        PID:2180
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        58⤵
        
        PID:1652
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        59⤵
        
        PID:1080
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        57⤵
        
        PID:1588
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        58⤵
        Runs ping.exe
        
        PID:1316
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        56⤵
        
        PID:2452
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        57⤵
        
        PID:1764
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        55⤵
        
        PID:2504
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        56⤵
        
        PID:1400
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        54⤵
        
        PID:2576
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        55⤵
        
        PID:1992
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        53⤵
        
        PID:2936
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        54⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        52⤵
        
        PID:1516
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        53⤵
        
        PID:2356
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        51⤵
        
        PID:2244
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        52⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2252
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        50⤵
        
        PID:1988
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        51⤵
        
        PID:1424
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        49⤵
        
        PID:2972
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        50⤵
        
        PID:1656
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        48⤵
        
        PID:1612
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        49⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        47⤵
        
        PID:3020
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        48⤵
        
        PID:2512
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        46⤵
        
        PID:2848
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        47⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        45⤵
        
        PID:2204
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        46⤵
        
        PID:3004
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        44⤵
        
        PID:2792
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        45⤵
        
        PID:2412
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        43⤵
        
        PID:820
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        44⤵
        
        PID:2540
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2904 -s 496
        42⤵
        Program crash
        
        PID:2304
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        41⤵
        
        PID:668
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        42⤵
        
        PID:2260
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        40⤵
        
        PID:1152
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        41⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2916
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        39⤵
        System Location Discovery: System Language Discovery
        
        PID:1080
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        40⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:2656
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        38⤵
        
        PID:2940
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        39⤵
        
        PID:2776
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        37⤵
        System Location Discovery: System Language Discovery
        
        PID:2968
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        38⤵
        
        PID:2476
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        36⤵
        
        PID:836
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        37⤵
        
        PID:2932
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        35⤵
        System Location Discovery: System Language Discovery
        
        PID:2980
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        36⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        34⤵
        System Location Discovery: System Language Discovery
        
        PID:580
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        35⤵
        
        PID:1760
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        33⤵
        System Location Discovery: System Language Discovery
        
        PID:2404
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        34⤵
        System Location Discovery: System Language Discovery
        
        PID:2600
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        32⤵
        
        PID:2428
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        33⤵
        System Location Discovery: System Language Discovery
        
        PID:2700
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        31⤵
        
        PID:2948
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        32⤵
        System Location Discovery: System Language Discovery
        
        PID:2784
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        30⤵
        System Location Discovery: System Language Discovery
        
        PID:2016
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        31⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        29⤵
        System Location Discovery: System Language Discovery
        
        PID:2512
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        30⤵
        
        PID:1612
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        28⤵
        
        PID:2292
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        29⤵
        System Location Discovery: System Language Discovery
        
        PID:1316
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        27⤵
        
        PID:2344
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        28⤵
        System Location Discovery: System Language Discovery
        
        PID:1652
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        26⤵
        
        PID:1952
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        27⤵
        System Location Discovery: System Language Discovery
        
        PID:1192
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        25⤵
        
        PID:544
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        26⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2516
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        24⤵
        System Location Discovery: System Language Discovery
        
        PID:2704
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        25⤵
        
        PID:1492
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        23⤵
        System Location Discovery: System Language Discovery
        
        PID:1232
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        24⤵
        System Location Discovery: System Language Discovery
        
        PID:2184
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        22⤵
        System Location Discovery: System Language Discovery
        
        PID:2200
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        23⤵
        
        PID:1820
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        21⤵
        System Location Discovery: System Language Discovery
        
        PID:1548
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        22⤵
        
        PID:2460
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        20⤵
        System Location Discovery: System Language Discovery
        
        PID:2148
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        21⤵
        System Location Discovery: System Language Discovery
        
        PID:972
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        19⤵
        
        PID:2272
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        20⤵
        System Location Discovery: System Language Discovery
        
        PID:1680
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        18⤵
        System Location Discovery: System Language Discovery
        
        PID:2444
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        19⤵
        System Location Discovery: System Language Discovery
        
        PID:2168
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        17⤵
        System Location Discovery: System Language Discovery
        
        PID:580
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        18⤵
        
        PID:2988
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        16⤵
        System Location Discovery: System Language Discovery
        
        PID:1264
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        17⤵
        System Location Discovery: System Language Discovery
        
        PID:1340
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        15⤵
        System Location Discovery: System Language Discovery
        
        PID:3044
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        16⤵
        System Location Discovery: System Language Discovery
        
        PID:1944
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        14⤵
        System Location Discovery: System Language Discovery
        
        PID:2948
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        15⤵
        System Location Discovery: System Language Discovery
        
        PID:1248
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        13⤵
        
        PID:1508
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        14⤵
        System Location Discovery: System Language Discovery
        
        PID:2824
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        12⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        13⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:2008
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        11⤵
        System Location Discovery: System Language Discovery
        
        PID:2576
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        12⤵
        
        PID:932
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        10⤵
        System Location Discovery: System Language Discovery
        
        PID:1800
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        11⤵
        System Location Discovery: System Language Discovery
        
        PID:2140
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        9⤵
        
        PID:2472
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        10⤵
        
        PID:2224
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        System Location Discovery: System Language Discovery
        
        PID:2216
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        
        PID:624
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        
        PID:696
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Location Discovery: System Language Discovery
        
        PID:960
      - C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        6⤵
        Suspicious use of WriteProcessMemory
        
        PID:2560
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        7⤵
        System Location Discovery: System Language Discovery
        
        PID:452
    - - C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        5⤵
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:2904
      - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:3028
  - - C:\Windows\SysWOW64\cmd.exe
      cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
      4⤵
      Suspicious use of WriteProcessMemory
      PID:2828
    - - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:264
- - C:\Windows\SysWOW64\cmd.exe
    cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
    3⤵
    - System Location Discovery: System Language Discovery
    - Suspicious use of WriteProcessMemory
    PID:3040
  - - C:\Windows\SysWOW64\PING.EXE
      ping 127.0.0.1 -n 2
      4⤵
      PID:2536
- C:\Windows\SysWOW64\cmd.exe
  cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
  2⤵
  - System Location Discovery: System Language Discovery
  - Suspicious use of WriteProcessMemory
  PID:2160
- - C:\Windows\SysWOW64\PING.EXE
    ping 127.0.0.1 -n 2
    3⤵
    - System Location Discovery: System Language Discovery
    PID:3052

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-605874820-3762544568831628565820974937391494072067694606-780516084-1092027199"
1⤵
PID:452

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "204940263012816423291607309577618549147-38796861115610808403972840671138581097"
1⤵
PID:1748

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-14374272613784116631078963933017310561747223666633599093-16864550651955685461"
1⤵
PID:2472

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "991110477-689900697245900868-936526685-1559498459-89811673269867643-1747559157"
1⤵
PID:624

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1622925282-477376803676354988038277479335745481123400122958796757-1389724325"
1⤵
PID:960

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-699337251-1926636933-11830296782314806217844693761306650111688394633929397615"
1⤵
PID:2008

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-12478937441919938385-767826180-9354477103866264701779579466-15195786051656141153"
1⤵
PID:1708

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1886171978670909196-16442016762110953569-961066630-1288922747-432596319-784400663"
1⤵
PID:2140

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "895495121-2025680185-980513451-291487718-1024314455-1119954397-20231561641679766446"
1⤵
PID:2948

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

Remote System Discovery

T1018

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

System Network Configuration Discovery

T1016

Internet Connection Discovery

T1016.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat

Filesize
119B

MD5
2b4a9481a31fa850edfca71d7df18901

SHA1
917654c4dee9d5671c341cb5e827f86fcf4578e4

SHA256
f08fe01e0fbad8af77184fcb8912a962fde6335ac656a6ea03ebd8f8c0c0ba30

SHA512
2aa46bd24d01e1140e1b62b7589959a695c133c243a41e46564b889b1831af5a908928c7c7ce949976e8ae73991f4f0d071f42ea3c702f5dd610f1e2af881a03

Download Submit
C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat

Filesize
74B

MD5
1bf8b56f216aa53e21dcaeb3af48a041

SHA1
89bc912ea2db373d97cc981f12dc9a6aaa2c5cf6

SHA256
5193765ddb45e9bc671936325701e1f50fa42826f6c5840e0ae4deb7e8bf2803

SHA512
75054a65db6d165266139fc3bb85538b0d33ebdb943442c3f1b4cdb7fce0a62e7e43385fa4e71b15dcbd094573d9c41c5672d77a376015221fa7bcb13e802cca

Download Submit
C:\Windows\SysWOW64\Windupdt\csrrss.exe

Filesize
714KB

MD5
4e080269a6ad6d33e0be247a7fb42024

SHA1
b2706d7a82c215990e6ef158af643dff32e1b480

SHA256
440d4014fc6f982d095902950bb05b9e7cc85faf8abdc63626ee877e2e3ea427

SHA512
45e237fcb791580fb26099b3324ef5b66d498dfe6d01321cd0da8afad86e136e80b484167a7954cdbcb483343fb38b74296217a89c822800fa7d8db6ccd49f50

Download Submit
memory/112-292-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/576-348-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/608-99-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/624-442-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/760-386-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/760-204-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/888-478-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/912-139-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/944-395-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1084-339-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1132-433-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1152-303-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1236-191-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1352-234-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1420-377-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1692-74-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1700-526-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1708-166-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1748-178-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1760-469-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1788-151-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1804-487-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1952-415-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1956-359-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1960-460-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1968-509-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2004-489-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2044-0-0x0000000000250000-0x0000000000251000-memory.dmp

Filesize
4KB

Download
memory/2044-21-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2072-261-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2136-100-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2260-535-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2340-263-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2344-517-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2352-243-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2352-113-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2400-368-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2432-305-0x00000000779C0000-0x0000000077ADF000-memory.dmp

Filesize
1.1MB

Download
memory/2432-304-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2432-306-0x0000000077AE0000-0x0000000077BDA000-memory.dmp

Filesize
1000KB

Download
memory/2440-317-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2444-424-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2452-406-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2476-500-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2476-126-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2508-321-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2560-272-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2636-281-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2644-301-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2792-225-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2844-404-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2848-61-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2856-308-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2900-13-0x0000000000250000-0x0000000000251000-memory.dmp

Filesize
4KB

Download
memory/2900-35-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2920-216-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2924-451-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2924-357-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2924-537-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2980-252-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2988-330-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/3008-498-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/3012-319-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/3016-539-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/3032-290-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/3048-49-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads