njrat | e5e7287cf37a074f6b8a35940407212a695e81e921d42b3b890bd283ae0637cd

General

Target

prins.exe
Size

43KB
MD5

d51b25e205220ae85d56de9a74968295
SHA1

c3eba0f1c06280ad634c126e133f486442ef6165
SHA256

e5e7287cf37a074f6b8a35940407212a695e81e921d42b3b890bd283ae0637cd
SHA512

4e79c2030715d68d859c160b7969c6975682f047192c37e569fe271b3b1b30611435cf461b33e640cd9f9ba5fbb83da9762f1f83133c2a00d32a6c125b0e8379
SSDEEP

384:iZyavHn1iDcsyEqtBfkEGCOEhGyOEtzcIij+ZsNO3PlpJKkkjh/TzF7pWnAA/gra:Q9HnU4pEqtNkE5SyZuXQ/oc3+L

Score

10^/10

njrat hacked discovery persistence trojan

Malware Config

Extracted

Family

njrat

Version

Njrat 0.7 Golden By Hassan Amiri

Botnet

HacKed

C2

127.0.0.1:8848

Mutex

Windows Update

Attributes

reg_key
Windows Update
splitter
|Hassan|

Signatures

Njrat family
njrat
njRAT/Bladabindi
Widely used RAT written in .NET.
trojan njrat

Adds Run key to start application 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-814918696-1585701690-3140955116-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Update = "\"C:\\Users\\Admin\\AppData\\Local\\Temp\\prins.exe\" .."	prins.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\Windows Update = "\"C:\\Users\\Admin\\AppData\\Local\\Temp\\prins.exe\" .."	prins.exe

System Location Discovery: System Language Discovery 1 TTPs 8 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	prins.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	prins.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	prins.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	prins.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	prins.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	prins.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	prins.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	prins.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

pid	Process
3668	prins.exe

Suspicious use of AdjustPrivilegeToken 3 IoCs

description	pid	Process
Token: SeDebugPrivilege	3668	prins.exe
Token: 33	3668	prins.exe
Token: SeIncBasePriorityPrivilege	3668	prins.exe

Suspicious use of WriteProcessMemory 21 IoCs

description	pid	Process	procid_target
PID 544 wrote to memory of 4784	544	cmd.exe	97
PID 544 wrote to memory of 4784	544	cmd.exe	97
PID 544 wrote to memory of 4784	544	cmd.exe	97
PID 4184 wrote to memory of 3080	4184	cmd.exe	98
PID 4184 wrote to memory of 3080	4184	cmd.exe	98
PID 4184 wrote to memory of 3080	4184	cmd.exe	98
PID 5620 wrote to memory of 2432	5620	cmd.exe	183
PID 5620 wrote to memory of 2432	5620	cmd.exe	183
PID 5620 wrote to memory of 2432	5620	cmd.exe	183
PID 4996 wrote to memory of 1836	4996	cmd.exe	119
PID 4996 wrote to memory of 1836	4996	cmd.exe	119
PID 4996 wrote to memory of 1836	4996	cmd.exe	119
PID 5440 wrote to memory of 3840	5440	cmd.exe	120
PID 5440 wrote to memory of 3840	5440	cmd.exe	120
PID 5440 wrote to memory of 3840	5440	cmd.exe	120
PID 1164 wrote to memory of 3856	1164	cmd.exe	188
PID 1164 wrote to memory of 3856	1164	cmd.exe	188
PID 1164 wrote to memory of 3856	1164	cmd.exe	188
PID 3616 wrote to memory of 1752	3616	cmd.exe	352
PID 3616 wrote to memory of 1752	3616	cmd.exe	352
PID 3616 wrote to memory of 1752	3616	cmd.exe	352

C:\Users\Admin\AppData\Local\Temp\prins.exe
"C:\Users\Admin\AppData\Local\Temp\prins.exe"
1⤵
- Adds Run key to start application
- System Location Discovery: System Language Discovery
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of AdjustPrivilegeToken
PID:3668

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
- Suspicious use of WriteProcessMemory
PID:544
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  - System Location Discovery: System Language Discovery
  PID:4784

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
- Suspicious use of WriteProcessMemory
PID:4184
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  - System Location Discovery: System Language Discovery
  PID:3080

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
- Suspicious use of WriteProcessMemory
PID:4996
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  - System Location Discovery: System Language Discovery
  PID:1836

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
- Suspicious use of WriteProcessMemory
PID:5620
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  - System Location Discovery: System Language Discovery
  PID:2432

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
- Suspicious use of WriteProcessMemory
PID:3616
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  - System Location Discovery: System Language Discovery
  PID:1752

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
- Suspicious use of WriteProcessMemory
PID:5440
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  - System Location Discovery: System Language Discovery
  PID:3840

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
- Suspicious use of WriteProcessMemory
PID:1164
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  - System Location Discovery: System Language Discovery
  PID:3856

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2940
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1344

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3084
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2300

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1464
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4252

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5296
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1064

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3096
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3432

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2052
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2520

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3816
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:872

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4852
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2912

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3128
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5712

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3540
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5704

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2588
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3360

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1972
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5932

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:624
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2428

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1784
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2432

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2880
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5648

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6016
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5260

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3388
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1448

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5028
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1984

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3188
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4948

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2756
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2164

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4360
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1420

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5948
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2732

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4724
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1416

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3472
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:408

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1224
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2052

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1756
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5924

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4788
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4916

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:388
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5260

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5248
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5004

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3856
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4660

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2068
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1960

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4400
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3940

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4432
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6000

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2140
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5512

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2508
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6192

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3896
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6208

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4492
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6424

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5576
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6684

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2592
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6492

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3236
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6744

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2708
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:7032

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4864
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5484

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1704
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6332

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4972
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1060

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4772
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6600

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2420
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3216

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1860
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4360

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:416
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1020

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1856
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5452

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4560
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4760

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1920
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2620

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5368
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:7064

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1980
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2164

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4684
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2824

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2792
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6588

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3536
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5388

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5288
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3028

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6260
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4796

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6268
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6428

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6364
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5040

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6372
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2224

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6668
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:7116

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6676
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1412

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6800
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6508

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6808
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4444

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:7004
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3896

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:7012
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4504

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2360
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4736

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5908
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2316

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1708
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4924

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2436
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1756

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5532
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5420

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5612
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5860

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6836
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5036

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2092
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6336

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5172
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1312

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:7068
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6504

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2416
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4688

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:7028
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3904

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:368
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1824

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3436
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4404

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3384
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6472

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1468
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5228

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3964
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5452

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4428
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3164

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6744
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1176

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4616
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3692

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4336
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5552

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1752
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5712

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5796
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6628

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2684
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6820

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3128
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5652

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1728
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4968

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5264
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6960

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3184
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6800

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:7152
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2176

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1340
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5960

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:684
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3096

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6152
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:7012

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6140
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5288

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:872
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6384

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6584
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:776

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1716
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4624

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:812
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5476

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5248
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4984

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:448
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6388

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:544
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3764

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5636
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6316

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1332
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4572

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1404
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1068

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4684
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2572

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1980
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3168

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1064
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3436

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6020
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6884

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2064
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:468

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3080
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6116

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5932
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4580

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6368
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3780

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6616
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6984

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2420
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3040

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2596
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5344

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:7004

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2204
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6700

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6604
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6684

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6872
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:684

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2428

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4844
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1852

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1652
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:932

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2088

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2904
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2732

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3152

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1712

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5280

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1612

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1804

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:7120

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2236

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6944

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2372

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1396

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6924

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:7068

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3384

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6352

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4940

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1268

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6712

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:532

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6076

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6276

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5496

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5252

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5752

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5816

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6956

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2656

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5912

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6532

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4832

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

1

T1547

Registry Run Keys / Startup Folder

1

T1547.001

Privilege Escalation

Boot or Logon Autostart Execution

1

T1547

Registry Run Keys / Startup Folder

1

T1547.001

Defense Evasion

Modify Registry

1

T1112

Credential Access

Discovery

System Location Discovery

1

T1614

System Language Discovery

1

T1614.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs\prins.exe.log

Filesize
507B

MD5
25d1b50e7c0d451f3d850eb54d27ca05

SHA1
a238807715c70a335f54e80d4855644b21a9e870

SHA256
650faa13e983c9046c9030f63a5fa1c33900432ec7cb3762e015da2e7c5b34a5

SHA512
4223a26b2fabefdf1c01443ccc7bd887464d27f02694379895a040c66db472d541218d501f1c01e1bd31012d079a31baf24e20882c32cf652a09a74e3bf385f5

Download Submit
memory/3080-7-0x0000000074810000-0x0000000074FC0000-memory.dmp

Filesize
7.7MB

Download
memory/3080-15-0x0000000074810000-0x0000000074FC0000-memory.dmp

Filesize
7.7MB

Download
memory/3080-10-0x0000000074810000-0x0000000074FC0000-memory.dmp

Filesize
7.7MB

Download
memory/3668-9-0x0000000074810000-0x0000000074FC0000-memory.dmp

Filesize
7.7MB

Download
memory/3668-5-0x0000000005930000-0x00000000059C2000-memory.dmp

Filesize
584KB

Download
memory/3668-4-0x0000000074810000-0x0000000074FC0000-memory.dmp

Filesize
7.7MB

Download
memory/3668-0-0x000000007481E000-0x000000007481F000-memory.dmp

Filesize
4KB

Download
memory/3668-8-0x000000007481E000-0x000000007481F000-memory.dmp

Filesize
4KB

Download
memory/3668-3-0x0000000005DD0000-0x0000000006374000-memory.dmp

Filesize
5.6MB

Download
memory/3668-12-0x0000000005920000-0x000000000592A000-memory.dmp

Filesize
40KB

Download
memory/3668-2-0x0000000005580000-0x000000000561C000-memory.dmp

Filesize
624KB

Download
memory/3668-1-0x0000000000CA0000-0x0000000000CB2000-memory.dmp

Filesize
72KB

Download
memory/4784-6-0x0000000074810000-0x0000000074FC0000-memory.dmp

Filesize
7.7MB

Download
memory/4784-11-0x0000000074810000-0x0000000074FC0000-memory.dmp

Filesize
7.7MB

Download
memory/4784-16-0x0000000074810000-0x0000000074FC0000-memory.dmp

Filesize
7.7MB

Download

Analysis

Sharing

General

Malware Config

Extracted

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads