njrat | e5e7287cf37a074f6b8a35940407212a695e81e921d42b3b890bd283ae0637cd

General

Target

prins.exe
Size

43KB
MD5

d51b25e205220ae85d56de9a74968295
SHA1

c3eba0f1c06280ad634c126e133f486442ef6165
SHA256

e5e7287cf37a074f6b8a35940407212a695e81e921d42b3b890bd283ae0637cd
SHA512

4e79c2030715d68d859c160b7969c6975682f047192c37e569fe271b3b1b30611435cf461b33e640cd9f9ba5fbb83da9762f1f83133c2a00d32a6c125b0e8379
SSDEEP

384:iZyavHn1iDcsyEqtBfkEGCOEhGyOEtzcIij+ZsNO3PlpJKkkjh/TzF7pWnAA/gra:Q9HnU4pEqtNkE5SyZuXQ/oc3+L

Score

10^/10

njrat hacked discovery persistence trojan

Malware Config

Extracted

Family

njrat

Version

Njrat 0.7 Golden By Hassan Amiri

Botnet

HacKed

C2

127.0.0.1:8848

Mutex

Windows Update

Attributes

reg_key
Windows Update
splitter
|Hassan|

Signatures

Njrat family
njrat
njRAT/Bladabindi
Widely used RAT written in .NET.
trojan njrat

Adds Run key to start application 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Update = "\"C:\\Users\\Admin\\AppData\\Local\\Temp\\prins.exe\" .."	prins.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\Windows Update = "\"C:\\Users\\Admin\\AppData\\Local\\Temp\\prins.exe\" .."	prins.exe

System Location Discovery: System Language Discovery 1 TTPs 6 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	prins.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	prins.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	prins.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	prins.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	prins.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	prins.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

pid	Process
4924	prins.exe

Suspicious use of AdjustPrivilegeToken 3 IoCs

description	pid	Process
Token: SeDebugPrivilege	4924	prins.exe
Token: 33	4924	prins.exe
Token: SeIncBasePriorityPrivilege	4924	prins.exe

Suspicious use of WriteProcessMemory 18 IoCs

description	pid	Process	procid_target
PID 2508 wrote to memory of 3160	2508	cmd.exe	100
PID 2508 wrote to memory of 3160	2508	cmd.exe	100
PID 2508 wrote to memory of 3160	2508	cmd.exe	100
PID 4252 wrote to memory of 3428	4252	cmd.exe	101
PID 4252 wrote to memory of 3428	4252	cmd.exe	101
PID 4252 wrote to memory of 3428	4252	cmd.exe	101
PID 620 wrote to memory of 2272	620	cmd.exe	111
PID 620 wrote to memory of 2272	620	cmd.exe	111
PID 620 wrote to memory of 2272	620	cmd.exe	111
PID 5512 wrote to memory of 1732	5512	cmd.exe	112
PID 5512 wrote to memory of 1732	5512	cmd.exe	112
PID 5512 wrote to memory of 1732	5512	cmd.exe	112
PID 2812 wrote to memory of 5552	2812	cmd.exe	121
PID 2812 wrote to memory of 5552	2812	cmd.exe	121
PID 2812 wrote to memory of 5552	2812	cmd.exe	121
PID 2316 wrote to memory of 5024	2316	cmd.exe	132
PID 2316 wrote to memory of 5024	2316	cmd.exe	132
PID 2316 wrote to memory of 5024	2316	cmd.exe	132

C:\Users\Admin\AppData\Local\Temp\prins.exe
"C:\Users\Admin\AppData\Local\Temp\prins.exe"
1⤵
- Adds Run key to start application
- System Location Discovery: System Language Discovery
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of AdjustPrivilegeToken
PID:4924

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
- Suspicious use of WriteProcessMemory
PID:4252
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  - System Location Discovery: System Language Discovery
  PID:3428

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
- Suspicious use of WriteProcessMemory
PID:2508
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  - System Location Discovery: System Language Discovery
  PID:3160

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
- Suspicious use of WriteProcessMemory
PID:620
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  - System Location Discovery: System Language Discovery
  PID:2272

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
- Suspicious use of WriteProcessMemory
PID:5512
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  - System Location Discovery: System Language Discovery
  PID:1732

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
- Suspicious use of WriteProcessMemory
PID:2812
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  - System Location Discovery: System Language Discovery
  PID:5552

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
- Suspicious use of WriteProcessMemory
PID:2316
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5024

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2992
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3648

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2988
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4784

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6116
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3084

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2484
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1448

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4404
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:232

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5524
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2364

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5892
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2960

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5452
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:368

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2704
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4744

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2636
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5928

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5412
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4812

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:432
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:224

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5364
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5228

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5812
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1996

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5388
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4220

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4276
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3332

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3748
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2296

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3348
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2956

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5560
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6108

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:744
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2020

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1260
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4932

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1492
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1140

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4864
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3152

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6104
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5472

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5756
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4376

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2440
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5584

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5000
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3840

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3916
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6176

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3912
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6452

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3264
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6496

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3064
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6256

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1256
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6384

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2316
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6648

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1680
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6672

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3448
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:7056

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4528
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2476

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4884
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5164

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4340
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:960

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1544
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5876

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4444
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6956

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4844
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6876

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4404
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:888

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3928
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5412

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2952
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4908

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2568
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6220

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4124
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4496

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6160
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6348

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6168
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1736

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6408
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5584

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6416
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3416

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6632
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:860

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6640
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3312

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6788
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5288

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6796
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1284

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6964
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1996

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6972
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2440

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:7116
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:7004

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:7124
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:7056

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4024
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6960

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4860
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5292

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4876
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6616

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4248
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2752

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4852
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2808

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:752
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2316

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6888
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3636

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4916
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4528

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4556
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3912

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3516
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6616

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2232
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1380

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6340
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2236

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6592
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6780

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6308
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6532

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4672
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4400

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2580
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6348

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3712
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6844

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3244
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6300

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1476
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3124

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2916
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6452

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2844
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2944

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1640
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1968

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1704
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3924

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1000
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6312

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4948
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6776

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6208
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:7124

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4976
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1400

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2144
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6400

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:396
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:7000

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3804
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6992

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1996
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3056

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6892
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6164

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5048
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6712

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5476
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2768

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5408
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1968

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1864
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:860

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2380
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:7120

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:224
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4572

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6952
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:316

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:7056
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2940

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2752
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3516

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1668
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3116

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6448
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4280

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5672
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4672

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6808
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2444

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1860
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2424

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4448
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1344

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3180
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1732

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1744
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6032

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6480
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6972

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3524
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:452

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5816
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6548

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3708
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6148

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6160
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1692

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5388
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5196

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5212
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3912

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:7072
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2240

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1212
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5916

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1816
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5524

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6412
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6824

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6152
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5912

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1648
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3804

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6764
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2696

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4744
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6964

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1756
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6336

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6344
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3036

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:7060
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6200

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4204
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3800

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4588
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3328

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4116
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2392

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6348
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2952

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1236
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6676

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3124
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1732

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5896
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6120

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:768
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3692

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:752
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4240

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1640
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6688

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6164
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3912

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6848
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3524

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4976
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3556

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1464
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6548

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6204
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4040

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:7152
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6380

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5684
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5900

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5348
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6664

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:7012
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6028

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:960
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4308

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5324
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3800

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:432
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6692

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6008
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2396

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6236
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5488

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6464
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3448

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6320
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1668

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2232
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2316

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2320
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6176

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5336
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6608

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6020
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4812

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6352
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:5680

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5436
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:368

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:888
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:2436

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6924
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6160

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2588
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4496

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3364
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1064

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5920
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3128

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4636
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:7120

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6312

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3036
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6284

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5964
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:7000

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6400
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6584

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2940
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1448

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4936

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2364
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6976

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4192
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:1908

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4980
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6992

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2068

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3332

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1472
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:4468

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3840

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1260

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6308
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:3312

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5560

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3244

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6688
- C:\Users\Admin\AppData\Local\Temp\prins.exe
  C:\Users\Admin\AppData\Local\Temp\prins.exe ..
  2⤵
  PID:6360

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:920

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2268

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:2388

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5388

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:5744

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3204

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:1804

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:3712

C:\Users\Admin\AppData\Local\Temp\prins.exe
C:\Users\Admin\AppData\Local\Temp\prins.exe ..
1⤵
PID:5268

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:6648

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c "C:\Users\Admin\AppData\Local\Temp\prins.exe" ..
1⤵
PID:4860

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

1

T1547

Registry Run Keys / Startup Folder

1

T1547.001

Privilege Escalation

Boot or Logon Autostart Execution

1

T1547

Registry Run Keys / Startup Folder

1

T1547.001

Defense Evasion

Modify Registry

1

T1112

Credential Access

Discovery

System Location Discovery

1

T1614

System Language Discovery

1

T1614.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs\prins.exe.log

Filesize
507B

MD5
25d1b50e7c0d451f3d850eb54d27ca05

SHA1
a238807715c70a335f54e80d4855644b21a9e870

SHA256
650faa13e983c9046c9030f63a5fa1c33900432ec7cb3762e015da2e7c5b34a5

SHA512
4223a26b2fabefdf1c01443ccc7bd887464d27f02694379895a040c66db472d541218d501f1c01e1bd31012d079a31baf24e20882c32cf652a09a74e3bf385f5

Download Submit
memory/3160-7-0x0000000074A30000-0x00000000751E0000-memory.dmp

Filesize
7.7MB

Download
memory/3160-14-0x0000000074A30000-0x00000000751E0000-memory.dmp

Filesize
7.7MB

Download
memory/3160-6-0x0000000074A30000-0x00000000751E0000-memory.dmp

Filesize
7.7MB

Download
memory/3428-16-0x0000000074A30000-0x00000000751E0000-memory.dmp

Filesize
7.7MB

Download
memory/3428-11-0x0000000074A30000-0x00000000751E0000-memory.dmp

Filesize
7.7MB

Download
memory/3428-9-0x0000000074A30000-0x00000000751E0000-memory.dmp

Filesize
7.7MB

Download
memory/4924-8-0x0000000074A3E000-0x0000000074A3F000-memory.dmp

Filesize
4KB

Download
memory/4924-0-0x0000000074A3E000-0x0000000074A3F000-memory.dmp

Filesize
4KB

Download
memory/4924-5-0x0000000005710000-0x00000000057A2000-memory.dmp

Filesize
584KB

Download
memory/4924-10-0x0000000074A30000-0x00000000751E0000-memory.dmp

Filesize
7.7MB

Download
memory/4924-4-0x0000000074A30000-0x00000000751E0000-memory.dmp

Filesize
7.7MB

Download
memory/4924-12-0x00000000056D0000-0x00000000056DA000-memory.dmp

Filesize
40KB

Download
memory/4924-3-0x0000000005C20000-0x00000000061C4000-memory.dmp

Filesize
5.6MB

Download
memory/4924-2-0x0000000005340000-0x00000000053DC000-memory.dmp

Filesize
624KB

Download
memory/4924-1-0x0000000000910000-0x0000000000922000-memory.dmp

Filesize
72KB

Download

Analysis

Sharing

General

Malware Config

Extracted

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads