Analysis

  • max time kernel
    150s
  • max time network
    151s
  • platform
    windows11-21h2_x64
  • resource
    win11-20250410-en
  • resource tags

    arch:x64arch:x86image:win11-20250410-enlocale:en-usos:windows11-21h2-x64system
  • submitted
    17/04/2025, 23:27

General

  • Target

    JaffaCakes118_bb9948c3da8fee376e600f5467021131.exe

  • Size

    320KB

  • MD5

    bb9948c3da8fee376e600f5467021131

  • SHA1

    c8fec923c44f9debbce6862b0ce24f6686d6faf5

  • SHA256

    3dfd0e24cf3ccb5898676f46f706ada8a30636bc3383b2406c1cee28aaf319f3

  • SHA512

    0351bd5fa851347900fdbe6050c6ccdb2e23b2bb587213b9d08b296fa060adcb4ea81f224877b42426074a6282fb362ce7db3f8d277462f9118fb5bc9f5b340e

  • SSDEEP

    6144:5Tw4o1IV3puaibGKFHi0mofhaH05kipz016580bHFMWu86JQPDHDdx/QtqR:BmgvmzFHi0mo5aH0qMzd5807FKPJQPDV

Malware Config

Signatures

  • Modifies WinLogon for persistence 2 TTPs 3 IoCs
  • Pykspa

    Pykspa is a worm spreads via Skype uses DGA and it's written in C++.

  • Pykspa family
  • UAC bypass 3 TTPs 12 IoCs
  • Detect Pykspa worm 1 IoCs
  • Adds policy Run key to start application 2 TTPs 26 IoCs
  • Disables RegEdit via registry modification 6 IoCs
  • Executes dropped EXE 2 IoCs
  • Impair Defenses: Safe Mode Boot 1 TTPs 6 IoCs
  • Adds Run key to start application 2 TTPs 64 IoCs
  • Checks whether UAC is enabled 1 TTPs 6 IoCs
  • Hijack Execution Flow: Executable Installer File Permissions Weakness 1 TTPs 3 IoCs

    Possible Turn off User Account Control's privilege elevation for standard users.

  • Looks up external IP address via web service 5 IoCs

    Uses a legitimate IP lookup service to find the infected system's external IP.

  • Drops file in System32 directory 4 IoCs
  • Drops file in Program Files directory 4 IoCs
  • Drops file in Windows directory 4 IoCs
  • Enumerates physical storage devices 1 TTPs

    Attempts to interact with connected storage/optical drive(s).

  • System Location Discovery: System Language Discovery 1 TTPs 3 IoCs

    Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

  • Modifies registry class 3 IoCs
  • Suspicious behavior: EnumeratesProcesses 24 IoCs
  • Suspicious behavior: GetForegroundWindowSpam 2 IoCs
  • Suspicious use of AdjustPrivilegeToken 1 IoCs
  • Suspicious use of WriteProcessMemory 6 IoCs
  • System policy modification 1 TTPs 36 IoCs

Processes

  • C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_bb9948c3da8fee376e600f5467021131.exe
    "C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_bb9948c3da8fee376e600f5467021131.exe"
    1⤵
    • Modifies WinLogon for persistence
    • UAC bypass
    • Adds policy Run key to start application
    • Disables RegEdit via registry modification
    • Adds Run key to start application
    • Checks whether UAC is enabled
    • Hijack Execution Flow: Executable Installer File Permissions Weakness
    • System Location Discovery: System Language Discovery
    • Modifies registry class
    • Suspicious use of WriteProcessMemory
    • System policy modification
    PID:1864
    • C:\Users\Admin\AppData\Local\Temp\chisahj.exe
      "C:\Users\Admin\AppData\Local\Temp\chisahj.exe" "-"
      2⤵
      • Modifies WinLogon for persistence
      • UAC bypass
      • Adds policy Run key to start application
      • Disables RegEdit via registry modification
      • Executes dropped EXE
      • Adds Run key to start application
      • Checks whether UAC is enabled
      • Hijack Execution Flow: Executable Installer File Permissions Weakness
      • System Location Discovery: System Language Discovery
      • Modifies registry class
      • Suspicious behavior: GetForegroundWindowSpam
      • System policy modification
      PID:688
    • C:\Users\Admin\AppData\Local\Temp\chisahj.exe
      "C:\Users\Admin\AppData\Local\Temp\chisahj.exe" "-"
      2⤵
      • Modifies WinLogon for persistence
      • UAC bypass
      • Adds policy Run key to start application
      • Disables RegEdit via registry modification
      • Executes dropped EXE
      • Impair Defenses: Safe Mode Boot
      • Adds Run key to start application
      • Checks whether UAC is enabled
      • Hijack Execution Flow: Executable Installer File Permissions Weakness
      • Drops file in System32 directory
      • Drops file in Program Files directory
      • Drops file in Windows directory
      • System Location Discovery: System Language Discovery
      • Modifies registry class
      • Suspicious behavior: EnumeratesProcesses
      • Suspicious behavior: GetForegroundWindowSpam
      • Suspicious use of AdjustPrivilegeToken
      • System policy modification
      PID:3440
  • C:\Windows\system32\cmd.exe
    C:\Windows\system32\cmd.exe /c rhtohzmnwrpeslxklr.exe
    1⤵
      PID:1488
    • C:\Windows\system32\cmd.exe
      C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe .
      1⤵
        PID:3392
      • C:\Windows\system32\cmd.exe
        C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe
        1⤵
          PID:3508
        • C:\Windows\system32\cmd.exe
          C:\Windows\system32\cmd.exe /c rhtohzmnwrpeslxklr.exe .
          1⤵
            PID:4112
          • C:\Windows\system32\cmd.exe
            C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe
            1⤵
              PID:3704
            • C:\Windows\system32\cmd.exe
              C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe .
              1⤵
                PID:1352
              • C:\Windows\system32\cmd.exe
                C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe
                1⤵
                  PID:5076
                • C:\Windows\system32\cmd.exe
                  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe .
                  1⤵
                    PID:1128
                  • C:\Windows\system32\cmd.exe
                    C:\Windows\system32\cmd.exe /c bpzsjzkjqjfsevfq.exe
                    1⤵
                      PID:4388
                    • C:\Windows\system32\cmd.exe
                      C:\Windows\system32\cmd.exe /c rhtohzmnwrpeslxklr.exe
                      1⤵
                        PID:2304
                      • C:\Windows\system32\cmd.exe
                        C:\Windows\system32\cmd.exe /c rhtohzmnwrpeslxklr.exe .
                        1⤵
                          PID:1200
                        • C:\Windows\System32\rundll32.exe
                          C:\Windows\System32\rundll32.exe C:\Windows\System32\shell32.dll,SHCreateLocalServerRunDll {9aa46009-3ce0-458a-a354-715610a075e6} -Embedding
                          1⤵
                            PID:1416
                          • C:\Windows\system32\cmd.exe
                            C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe .
                            1⤵
                              PID:4820
                            • C:\Windows\system32\cmd.exe
                              C:\Windows\system32\cmd.exe /c bpzsjzkjqjfsevfq.exe
                              1⤵
                                PID:2252
                              • C:\Windows\system32\cmd.exe
                                C:\Windows\system32\cmd.exe /c ixiculxxfzwkxpamm.exe
                                1⤵
                                  PID:1968
                                • C:\Windows\system32\cmd.exe
                                  C:\Windows\system32\cmd.exe /c ixiculxxfzwkxpamm.exe .
                                  1⤵
                                    PID:4260
                                  • C:\Windows\system32\cmd.exe
                                    C:\Windows\system32\cmd.exe /c phvsnhwzkhhyojxmpxld.exe .
                                    1⤵
                                      PID:4468
                                    • C:\Windows\system32\cmd.exe
                                      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe
                                      1⤵
                                        PID:4012
                                      • C:\Windows\system32\cmd.exe
                                        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe
                                        1⤵
                                          PID:880
                                        • C:\Windows\system32\cmd.exe
                                          C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe .
                                          1⤵
                                            PID:1172
                                          • C:\Windows\system32\cmd.exe
                                            C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe .
                                            1⤵
                                              PID:3944
                                            • C:\Windows\system32\cmd.exe
                                              C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\exmkgbrvhfgyplaqudsla.exe
                                              1⤵
                                                PID:4392
                                              • C:\Windows\system32\cmd.exe
                                                C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\exmkgbrvhfgyplaqudsla.exe
                                                1⤵
                                                  PID:4028
                                                • C:\Windows\system32\cmd.exe
                                                  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe .
                                                  1⤵
                                                    PID:3120
                                                  • C:\Windows\system32\cmd.exe
                                                    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\exmkgbrvhfgyplaqudsla.exe .
                                                    1⤵
                                                      PID:2608
                                                    • C:\Windows\system32\cmd.exe
                                                      C:\Windows\system32\cmd.exe /c phvsnhwzkhhyojxmpxld.exe
                                                      1⤵
                                                        PID:3560
                                                      • C:\Windows\system32\cmd.exe
                                                        C:\Windows\system32\cmd.exe /c ixiculxxfzwkxpamm.exe
                                                        1⤵
                                                          PID:1972
                                                        • C:\Windows\system32\cmd.exe
                                                          C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe
                                                          1⤵
                                                            PID:4844
                                                          • C:\Windows\system32\cmd.exe
                                                            C:\Windows\system32\cmd.exe /c ixiculxxfzwkxpamm.exe .
                                                            1⤵
                                                              PID:4524
                                                            • C:\Windows\system32\cmd.exe
                                                              C:\Windows\system32\cmd.exe /c bpzsjzkjqjfsevfq.exe .
                                                              1⤵
                                                                PID:3472
                                                              • C:\Windows\system32\cmd.exe
                                                                C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe
                                                                1⤵
                                                                  PID:4772
                                                                • C:\Windows\system32\cmd.exe
                                                                  C:\Windows\system32\cmd.exe /c rhtohzmnwrpeslxklr.exe
                                                                  1⤵
                                                                    PID:2732
                                                                  • C:\Windows\system32\cmd.exe
                                                                    C:\Windows\system32\cmd.exe /c ixiculxxfzwkxpamm.exe .
                                                                    1⤵
                                                                      PID:4768
                                                                    • C:\Windows\system32\cmd.exe
                                                                      C:\Windows\system32\cmd.exe /c rhtohzmnwrpeslxklr.exe .
                                                                      1⤵
                                                                        PID:4112
                                                                      • C:\Windows\system32\cmd.exe
                                                                        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\exmkgbrvhfgyplaqudsla.exe
                                                                        1⤵
                                                                          PID:2684
                                                                        • C:\Windows\system32\cmd.exe
                                                                          C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe
                                                                          1⤵
                                                                            PID:1044
                                                                          • C:\Windows\system32\cmd.exe
                                                                            C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\phvsnhwzkhhyojxmpxld.exe .
                                                                            1⤵
                                                                              PID:1764
                                                                            • C:\Windows\system32\cmd.exe
                                                                              C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\bpzsjzkjqjfsevfq.exe .
                                                                              1⤵
                                                                                PID:1300
                                                                              • C:\Windows\system32\cmd.exe
                                                                                C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\bpzsjzkjqjfsevfq.exe
                                                                                1⤵
                                                                                  PID:1712
                                                                                • C:\Windows\system32\cmd.exe
                                                                                  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\bpzsjzkjqjfsevfq.exe
                                                                                  1⤵
                                                                                    PID:2440
                                                                                  • C:\Windows\system32\cmd.exe
                                                                                    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\exmkgbrvhfgyplaqudsla.exe .
                                                                                    1⤵
                                                                                      PID:4388
                                                                                    • C:\Windows\system32\cmd.exe
                                                                                      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\phvsnhwzkhhyojxmpxld.exe .
                                                                                      1⤵
                                                                                        PID:968
                                                                                      • C:\Windows\system32\cmd.exe
                                                                                        C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe
                                                                                        1⤵
                                                                                          PID:3860
                                                                                        • C:\Windows\system32\cmd.exe
                                                                                          C:\Windows\system32\cmd.exe /c bpzsjzkjqjfsevfq.exe
                                                                                          1⤵
                                                                                            PID:2060
                                                                                          • C:\Windows\system32\cmd.exe
                                                                                            C:\Windows\system32\cmd.exe /c ixiculxxfzwkxpamm.exe .
                                                                                            1⤵
                                                                                              PID:1296
                                                                                            • C:\Windows\system32\cmd.exe
                                                                                              C:\Windows\system32\cmd.exe /c bpzsjzkjqjfsevfq.exe .
                                                                                              1⤵
                                                                                                PID:3424
                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                C:\Windows\system32\cmd.exe /c phvsnhwzkhhyojxmpxld.exe
                                                                                                1⤵
                                                                                                  PID:132
                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                  C:\Windows\system32\cmd.exe /c rhtohzmnwrpeslxklr.exe
                                                                                                  1⤵
                                                                                                    PID:5104
                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                    C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe .
                                                                                                    1⤵
                                                                                                      PID:1920
                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                      C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe .
                                                                                                      1⤵
                                                                                                        PID:5092
                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\rhtohzmnwrpeslxklr.exe
                                                                                                        1⤵
                                                                                                          PID:2332
                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                          C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\bpzsjzkjqjfsevfq.exe
                                                                                                          1⤵
                                                                                                            PID:4492
                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                            C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\exmkgbrvhfgyplaqudsla.exe .
                                                                                                            1⤵
                                                                                                              PID:3080
                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                              C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe .
                                                                                                              1⤵
                                                                                                                PID:2752
                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\exmkgbrvhfgyplaqudsla.exe
                                                                                                                1⤵
                                                                                                                  PID:2368
                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe
                                                                                                                  1⤵
                                                                                                                    PID:912
                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\phvsnhwzkhhyojxmpxld.exe .
                                                                                                                    1⤵
                                                                                                                      PID:4084
                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\rhtohzmnwrpeslxklr.exe .
                                                                                                                      1⤵
                                                                                                                        PID:788
                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                        C:\Windows\system32\cmd.exe /c rhtohzmnwrpeslxklr.exe
                                                                                                                        1⤵
                                                                                                                          PID:1448
                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                          C:\Windows\system32\cmd.exe /c rhtohzmnwrpeslxklr.exe
                                                                                                                          1⤵
                                                                                                                            PID:1404
                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                            C:\Windows\system32\cmd.exe /c phvsnhwzkhhyojxmpxld.exe .
                                                                                                                            1⤵
                                                                                                                              PID:924
                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                              C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe .
                                                                                                                              1⤵
                                                                                                                                PID:1300
                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                C:\Windows\system32\cmd.exe /c ixiculxxfzwkxpamm.exe
                                                                                                                                1⤵
                                                                                                                                  PID:3740
                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                  C:\Windows\system32\cmd.exe /c rhtohzmnwrpeslxklr.exe
                                                                                                                                  1⤵
                                                                                                                                    PID:2440
                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                    C:\Windows\system32\cmd.exe /c rhtohzmnwrpeslxklr.exe .
                                                                                                                                    1⤵
                                                                                                                                      PID:4944
                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                      C:\Windows\system32\cmd.exe /c rhtohzmnwrpeslxklr.exe .
                                                                                                                                      1⤵
                                                                                                                                        PID:748
                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\rhtohzmnwrpeslxklr.exe
                                                                                                                                        1⤵
                                                                                                                                          PID:2388
                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                          C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\phvsnhwzkhhyojxmpxld.exe
                                                                                                                                          1⤵
                                                                                                                                            PID:2620
                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                            C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe .
                                                                                                                                            1⤵
                                                                                                                                              PID:3984
                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                              C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe .
                                                                                                                                              1⤵
                                                                                                                                                PID:3972
                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                1⤵
                                                                                                                                                  PID:1192
                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\phvsnhwzkhhyojxmpxld.exe .
                                                                                                                                                  1⤵
                                                                                                                                                    PID:4468
                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\rhtohzmnwrpeslxklr.exe
                                                                                                                                                    1⤵
                                                                                                                                                      PID:4212
                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe .
                                                                                                                                                      1⤵
                                                                                                                                                        PID:2748
                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                        C:\Windows\system32\cmd.exe /c ixiculxxfzwkxpamm.exe
                                                                                                                                                        1⤵
                                                                                                                                                          PID:492
                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                          C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                          1⤵
                                                                                                                                                            PID:3428
                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                            C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe .
                                                                                                                                                            1⤵
                                                                                                                                                              PID:3120
                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                              C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe .
                                                                                                                                                              1⤵
                                                                                                                                                                PID:2616
                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                C:\Windows\system32\cmd.exe /c phvsnhwzkhhyojxmpxld.exe
                                                                                                                                                                1⤵
                                                                                                                                                                  PID:3156
                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                  C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe .
                                                                                                                                                                  1⤵
                                                                                                                                                                    PID:3520
                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                    C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe
                                                                                                                                                                    1⤵
                                                                                                                                                                      PID:2708
                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\phvsnhwzkhhyojxmpxld.exe
                                                                                                                                                                      1⤵
                                                                                                                                                                        PID:3012
                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                        C:\Windows\system32\cmd.exe /c phvsnhwzkhhyojxmpxld.exe .
                                                                                                                                                                        1⤵
                                                                                                                                                                          PID:1188
                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                          C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\phvsnhwzkhhyojxmpxld.exe .
                                                                                                                                                                          1⤵
                                                                                                                                                                            PID:3184
                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                            C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\exmkgbrvhfgyplaqudsla.exe
                                                                                                                                                                            1⤵
                                                                                                                                                                              PID:124
                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                              C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe .
                                                                                                                                                                              1⤵
                                                                                                                                                                                PID:3340
                                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                                C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                1⤵
                                                                                                                                                                                  PID:3508
                                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                                  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\bpzsjzkjqjfsevfq.exe .
                                                                                                                                                                                  1⤵
                                                                                                                                                                                    PID:908
                                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                                    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\bpzsjzkjqjfsevfq.exe
                                                                                                                                                                                    1⤵
                                                                                                                                                                                      PID:2772
                                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                                      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\bpzsjzkjqjfsevfq.exe .
                                                                                                                                                                                      1⤵
                                                                                                                                                                                        PID:4824
                                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                                        C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe
                                                                                                                                                                                        1⤵
                                                                                                                                                                                          PID:2256
                                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                                          C:\Windows\system32\cmd.exe /c bpzsjzkjqjfsevfq.exe
                                                                                                                                                                                          1⤵
                                                                                                                                                                                            PID:3652
                                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                                            C:\Windows\system32\cmd.exe /c phvsnhwzkhhyojxmpxld.exe .
                                                                                                                                                                                            1⤵
                                                                                                                                                                                              PID:3948
                                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                                              C:\Windows\system32\cmd.exe /c phvsnhwzkhhyojxmpxld.exe .
                                                                                                                                                                                              1⤵
                                                                                                                                                                                                PID:748
                                                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                C:\Windows\system32\cmd.exe /c rhtohzmnwrpeslxklr.exe
                                                                                                                                                                                                1⤵
                                                                                                                                                                                                  PID:1908
                                                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                  C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe .
                                                                                                                                                                                                  1⤵
                                                                                                                                                                                                    PID:672
                                                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                    C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe
                                                                                                                                                                                                    1⤵
                                                                                                                                                                                                      PID:496
                                                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe
                                                                                                                                                                                                      1⤵
                                                                                                                                                                                                        PID:2060
                                                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                        C:\Windows\system32\cmd.exe /c bpzsjzkjqjfsevfq.exe .
                                                                                                                                                                                                        1⤵
                                                                                                                                                                                                          PID:4276
                                                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                          C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe .
                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                            PID:1836
                                                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                            C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                            1⤵
                                                                                                                                                                                                              PID:1996
                                                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                              C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\bpzsjzkjqjfsevfq.exe .
                                                                                                                                                                                                              1⤵
                                                                                                                                                                                                                PID:1724
                                                                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\rhtohzmnwrpeslxklr.exe
                                                                                                                                                                                                                1⤵
                                                                                                                                                                                                                  PID:248
                                                                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\bpzsjzkjqjfsevfq.exe .
                                                                                                                                                                                                                  1⤵
                                                                                                                                                                                                                    PID:1256
                                                                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe
                                                                                                                                                                                                                    1⤵
                                                                                                                                                                                                                      PID:2872
                                                                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\phvsnhwzkhhyojxmpxld.exe .
                                                                                                                                                                                                                      1⤵
                                                                                                                                                                                                                        PID:1648
                                                                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                        C:\Windows\system32\cmd.exe /c ixiculxxfzwkxpamm.exe
                                                                                                                                                                                                                        1⤵
                                                                                                                                                                                                                          PID:2372
                                                                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                          C:\Windows\system32\cmd.exe /c phvsnhwzkhhyojxmpxld.exe
                                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                                            PID:576
                                                                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                            C:\Windows\system32\cmd.exe /c rhtohzmnwrpeslxklr.exe .
                                                                                                                                                                                                                            1⤵
                                                                                                                                                                                                                              PID:1188
                                                                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                              C:\Windows\system32\cmd.exe /c rhtohzmnwrpeslxklr.exe .
                                                                                                                                                                                                                              1⤵
                                                                                                                                                                                                                                PID:1948
                                                                                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                C:\Windows\system32\cmd.exe /c phvsnhwzkhhyojxmpxld.exe
                                                                                                                                                                                                                                1⤵
                                                                                                                                                                                                                                  PID:4780
                                                                                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                  C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe .
                                                                                                                                                                                                                                  1⤵
                                                                                                                                                                                                                                    PID:4236
                                                                                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                    C:\Windows\system32\cmd.exe /c ixiculxxfzwkxpamm.exe
                                                                                                                                                                                                                                    1⤵
                                                                                                                                                                                                                                      PID:3172
                                                                                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                                                      1⤵
                                                                                                                                                                                                                                        PID:2940
                                                                                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                        C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe .
                                                                                                                                                                                                                                        1⤵
                                                                                                                                                                                                                                          PID:548
                                                                                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                          C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\phvsnhwzkhhyojxmpxld.exe .
                                                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                                                            PID:1404
                                                                                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                            C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\phvsnhwzkhhyojxmpxld.exe
                                                                                                                                                                                                                                            1⤵
                                                                                                                                                                                                                                              PID:620
                                                                                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                              C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe .
                                                                                                                                                                                                                                              1⤵
                                                                                                                                                                                                                                                PID:1900
                                                                                                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe
                                                                                                                                                                                                                                                1⤵
                                                                                                                                                                                                                                                  PID:3876
                                                                                                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe .
                                                                                                                                                                                                                                                  1⤵
                                                                                                                                                                                                                                                    PID:3700
                                                                                                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\rhtohzmnwrpeslxklr.exe
                                                                                                                                                                                                                                                    1⤵
                                                                                                                                                                                                                                                      PID:3200
                                                                                                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\rhtohzmnwrpeslxklr.exe .
                                                                                                                                                                                                                                                      1⤵
                                                                                                                                                                                                                                                        PID:1076
                                                                                                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                        C:\Windows\system32\cmd.exe /c ixiculxxfzwkxpamm.exe
                                                                                                                                                                                                                                                        1⤵
                                                                                                                                                                                                                                                          PID:4596
                                                                                                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                          C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe .
                                                                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                                                                            PID:3972
                                                                                                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                            C:\Windows\system32\cmd.exe /c bpzsjzkjqjfsevfq.exe
                                                                                                                                                                                                                                                            1⤵
                                                                                                                                                                                                                                                              PID:4604
                                                                                                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                              C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe .
                                                                                                                                                                                                                                                              1⤵
                                                                                                                                                                                                                                                                PID:1120
                                                                                                                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                                                                                1⤵
                                                                                                                                                                                                                                                                  PID:1820
                                                                                                                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                  C:\Windows\system32\cmd.exe /c rhtohzmnwrpeslxklr.exe .
                                                                                                                                                                                                                                                                  1⤵
                                                                                                                                                                                                                                                                    PID:1836
                                                                                                                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                    C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                                                                                    1⤵
                                                                                                                                                                                                                                                                      PID:4484
                                                                                                                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                                                                                      1⤵
                                                                                                                                                                                                                                                                        PID:2260
                                                                                                                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\rhtohzmnwrpeslxklr.exe .
                                                                                                                                                                                                                                                                        1⤵
                                                                                                                                                                                                                                                                          PID:4832
                                                                                                                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                          C:\Windows\system32\cmd.exe /c ixiculxxfzwkxpamm.exe .
                                                                                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                                                                                            PID:248
                                                                                                                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                            C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe
                                                                                                                                                                                                                                                                            1⤵
                                                                                                                                                                                                                                                                              PID:1212
                                                                                                                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                              C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\phvsnhwzkhhyojxmpxld.exe .
                                                                                                                                                                                                                                                                              1⤵
                                                                                                                                                                                                                                                                                PID:3080
                                                                                                                                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\bpzsjzkjqjfsevfq.exe
                                                                                                                                                                                                                                                                                1⤵
                                                                                                                                                                                                                                                                                  PID:1992
                                                                                                                                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\bpzsjzkjqjfsevfq.exe .
                                                                                                                                                                                                                                                                                  1⤵
                                                                                                                                                                                                                                                                                    PID:1440
                                                                                                                                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\rhtohzmnwrpeslxklr.exe
                                                                                                                                                                                                                                                                                    1⤵
                                                                                                                                                                                                                                                                                      PID:3312
                                                                                                                                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\phvsnhwzkhhyojxmpxld.exe .
                                                                                                                                                                                                                                                                                      1⤵
                                                                                                                                                                                                                                                                                        PID:5112
                                                                                                                                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                        C:\Windows\system32\cmd.exe /c ixiculxxfzwkxpamm.exe
                                                                                                                                                                                                                                                                                        1⤵
                                                                                                                                                                                                                                                                                          PID:2932
                                                                                                                                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                          C:\Windows\system32\cmd.exe /c bpzsjzkjqjfsevfq.exe .
                                                                                                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                                                                                                            PID:4660
                                                                                                                                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                            C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                                                                                                            1⤵
                                                                                                                                                                                                                                                                                              PID:4016
                                                                                                                                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                              C:\Windows\system32\cmd.exe /c phvsnhwzkhhyojxmpxld.exe .
                                                                                                                                                                                                                                                                                              1⤵
                                                                                                                                                                                                                                                                                                PID:4036
                                                                                                                                                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                C:\Windows\system32\cmd.exe /c phvsnhwzkhhyojxmpxld.exe
                                                                                                                                                                                                                                                                                                1⤵
                                                                                                                                                                                                                                                                                                  PID:3380
                                                                                                                                                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                  C:\Windows\system32\cmd.exe /c bpzsjzkjqjfsevfq.exe .
                                                                                                                                                                                                                                                                                                  1⤵
                                                                                                                                                                                                                                                                                                    PID:3592
                                                                                                                                                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                                                                                                                    1⤵
                                                                                                                                                                                                                                                                                                      PID:3844
                                                                                                                                                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                      C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe
                                                                                                                                                                                                                                                                                                      1⤵
                                                                                                                                                                                                                                                                                                        PID:1128
                                                                                                                                                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                        C:\Windows\system32\cmd.exe /c bpzsjzkjqjfsevfq.exe .
                                                                                                                                                                                                                                                                                                        1⤵
                                                                                                                                                                                                                                                                                                          PID:1456
                                                                                                                                                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                          C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\exmkgbrvhfgyplaqudsla.exe .
                                                                                                                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                                                                                                                            PID:1500
                                                                                                                                                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                            C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\rhtohzmnwrpeslxklr.exe
                                                                                                                                                                                                                                                                                                            1⤵
                                                                                                                                                                                                                                                                                                              PID:1712
                                                                                                                                                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                              C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\bpzsjzkjqjfsevfq.exe .
                                                                                                                                                                                                                                                                                                              1⤵
                                                                                                                                                                                                                                                                                                                PID:1644
                                                                                                                                                                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                                                                                                                                1⤵
                                                                                                                                                                                                                                                                                                                  PID:1612
                                                                                                                                                                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\rhtohzmnwrpeslxklr.exe .
                                                                                                                                                                                                                                                                                                                  1⤵
                                                                                                                                                                                                                                                                                                                    PID:2896
                                                                                                                                                                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\rhtohzmnwrpeslxklr.exe
                                                                                                                                                                                                                                                                                                                    1⤵
                                                                                                                                                                                                                                                                                                                      PID:3900
                                                                                                                                                                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe .
                                                                                                                                                                                                                                                                                                                      1⤵
                                                                                                                                                                                                                                                                                                                        PID:2204
                                                                                                                                                                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\cmd.exe /c phvsnhwzkhhyojxmpxld.exe
                                                                                                                                                                                                                                                                                                                        1⤵
                                                                                                                                                                                                                                                                                                                          PID:4604
                                                                                                                                                                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe .
                                                                                                                                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                                                                                                                                            PID:2412
                                                                                                                                                                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                                                                                                                                            1⤵
                                                                                                                                                                                                                                                                                                                              PID:5044
                                                                                                                                                                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\cmd.exe /c phvsnhwzkhhyojxmpxld.exe
                                                                                                                                                                                                                                                                                                                              1⤵
                                                                                                                                                                                                                                                                                                                                PID:2652
                                                                                                                                                                                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe .
                                                                                                                                                                                                                                                                                                                                1⤵
                                                                                                                                                                                                                                                                                                                                  PID:1516
                                                                                                                                                                                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe .
                                                                                                                                                                                                                                                                                                                                  1⤵
                                                                                                                                                                                                                                                                                                                                    PID:4392
                                                                                                                                                                                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                                                                                                                                                    1⤵
                                                                                                                                                                                                                                                                                                                                      PID:3160
                                                                                                                                                                                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                                                                                                                                                      1⤵
                                                                                                                                                                                                                                                                                                                                        PID:2332
                                                                                                                                                                                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe .
                                                                                                                                                                                                                                                                                                                                        1⤵
                                                                                                                                                                                                                                                                                                                                          PID:4832
                                                                                                                                                                                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe .
                                                                                                                                                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                                                                                                                                                            PID:1648
                                                                                                                                                                                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\bpzsjzkjqjfsevfq.exe
                                                                                                                                                                                                                                                                                                                                            1⤵
                                                                                                                                                                                                                                                                                                                                              PID:1832
                                                                                                                                                                                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\bpzsjzkjqjfsevfq.exe .
                                                                                                                                                                                                                                                                                                                                              1⤵
                                                                                                                                                                                                                                                                                                                                                PID:3156
                                                                                                                                                                                                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                                                                                                                                                                1⤵
                                                                                                                                                                                                                                                                                                                                                  PID:1728
                                                                                                                                                                                                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\phvsnhwzkhhyojxmpxld.exe .
                                                                                                                                                                                                                                                                                                                                                  1⤵
                                                                                                                                                                                                                                                                                                                                                    PID:4488
                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe
                                                                                                                                                                                                                                                                                                                                                    1⤵
                                                                                                                                                                                                                                                                                                                                                      PID:2408
                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe .
                                                                                                                                                                                                                                                                                                                                                      1⤵
                                                                                                                                                                                                                                                                                                                                                        PID:1972
                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\cmd.exe /c bpzsjzkjqjfsevfq.exe
                                                                                                                                                                                                                                                                                                                                                        1⤵
                                                                                                                                                                                                                                                                                                                                                          PID:4112
                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\cmd.exe /c bpzsjzkjqjfsevfq.exe .
                                                                                                                                                                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                                                                                                                                                                            PID:3704
                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                                                                                                                                                                            1⤵
                                                                                                                                                                                                                                                                                                                                                              PID:3536
                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                                                                                                                                                                              1⤵
                                                                                                                                                                                                                                                                                                                                                                PID:3836
                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\cmd.exe /c phvsnhwzkhhyojxmpxld.exe .
                                                                                                                                                                                                                                                                                                                                                                1⤵
                                                                                                                                                                                                                                                                                                                                                                  PID:1404
                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\cmd.exe /c ixiculxxfzwkxpamm.exe .
                                                                                                                                                                                                                                                                                                                                                                  1⤵
                                                                                                                                                                                                                                                                                                                                                                    PID:4332
                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\exmkgbrvhfgyplaqudsla.exe
                                                                                                                                                                                                                                                                                                                                                                    1⤵
                                                                                                                                                                                                                                                                                                                                                                      PID:3876
                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe .
                                                                                                                                                                                                                                                                                                                                                                      1⤵
                                                                                                                                                                                                                                                                                                                                                                        PID:3556
                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe
                                                                                                                                                                                                                                                                                                                                                                        1⤵
                                                                                                                                                                                                                                                                                                                                                                          PID:1416
                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\cmd.exe /c bpzsjzkjqjfsevfq.exe .
                                                                                                                                                                                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                                                                                                                                                                                            PID:2140
                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                                                                                                                                                                                            1⤵
                                                                                                                                                                                                                                                                                                                                                                              PID:780
                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe
                                                                                                                                                                                                                                                                                                                                                                              1⤵
                                                                                                                                                                                                                                                                                                                                                                                PID:5084
                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\bpzsjzkjqjfsevfq.exe .
                                                                                                                                                                                                                                                                                                                                                                                1⤵
                                                                                                                                                                                                                                                                                                                                                                                  PID:344
                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\exmkgbrvhfgyplaqudsla.exe .
                                                                                                                                                                                                                                                                                                                                                                                  1⤵
                                                                                                                                                                                                                                                                                                                                                                                    PID:2488
                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                                                                                                                                                                                                    1⤵
                                                                                                                                                                                                                                                                                                                                                                                      PID:2868
                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ctgcwpdfplkapjwkmtg.exe .
                                                                                                                                                                                                                                                                                                                                                                                      1⤵
                                                                                                                                                                                                                                                                                                                                                                                        PID:4076
                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                                                                                                                                                                                                        1⤵
                                                                                                                                                                                                                                                                                                                                                                                          PID:4340
                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\cmd.exe /c bpzsjzkjqjfsevfq.exe .
                                                                                                                                                                                                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                                                                                                                                                                                                            PID:1256
                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                                                                                                                                                                                                            1⤵
                                                                                                                                                                                                                                                                                                                                                                                              PID:4492
                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe
                                                                                                                                                                                                                                                                                                                                                                                              1⤵
                                                                                                                                                                                                                                                                                                                                                                                                PID:248
                                                                                                                                                                                                                                                                                                                                                                                              • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                                                C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe .
                                                                                                                                                                                                                                                                                                                                                                                                1⤵
                                                                                                                                                                                                                                                                                                                                                                                                  PID:1632
                                                                                                                                                                                                                                                                                                                                                                                                • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                                                  C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\ixiculxxfzwkxpamm.exe
                                                                                                                                                                                                                                                                                                                                                                                                  1⤵
                                                                                                                                                                                                                                                                                                                                                                                                    PID:4884
                                                                                                                                                                                                                                                                                                                                                                                                  • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                                                    C:\Windows\system32\cmd.exe /c exmkgbrvhfgyplaqudsla.exe .
                                                                                                                                                                                                                                                                                                                                                                                                    1⤵
                                                                                                                                                                                                                                                                                                                                                                                                      PID:1680
                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                                                      C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\rhtohzmnwrpeslxklr.exe .
                                                                                                                                                                                                                                                                                                                                                                                                      1⤵
                                                                                                                                                                                                                                                                                                                                                                                                        PID:3016
                                                                                                                                                                                                                                                                                                                                                                                                      • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                                                        C:\Windows\system32\cmd.exe /c phvsnhwzkhhyojxmpxld.exe
                                                                                                                                                                                                                                                                                                                                                                                                        1⤵
                                                                                                                                                                                                                                                                                                                                                                                                          PID:960
                                                                                                                                                                                                                                                                                                                                                                                                        • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                                                          C:\Windows\system32\cmd.exe /c ctgcwpdfplkapjwkmtg.exe .
                                                                                                                                                                                                                                                                                                                                                                                                          1⤵
                                                                                                                                                                                                                                                                                                                                                                                                            PID:4356
                                                                                                                                                                                                                                                                                                                                                                                                          • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                                                            C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\phvsnhwzkhhyojxmpxld.exe
                                                                                                                                                                                                                                                                                                                                                                                                            1⤵
                                                                                                                                                                                                                                                                                                                                                                                                              PID:4452
                                                                                                                                                                                                                                                                                                                                                                                                            • C:\Windows\system32\cmd.exe
                                                                                                                                                                                                                                                                                                                                                                                                              C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\exmkgbrvhfgyplaqudsla.exe
                                                                                                                                                                                                                                                                                                                                                                                                              1⤵
                                                                                                                                                                                                                                                                                                                                                                                                                PID:1008

                                                                                                                                                                                                                                                                                                                                                                                                              Network

                                                                                                                                                                                                                                                                                                                                                                                                                    MITRE ATT&CK Enterprise v16

                                                                                                                                                                                                                                                                                                                                                                                                                    Replay Monitor

                                                                                                                                                                                                                                                                                                                                                                                                                    Loading Replay Monitor...

                                                                                                                                                                                                                                                                                                                                                                                                                    Downloads

                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Program Files (x86)\vxvchlkxszjkkpnmzrprpwbfer.tde

                                                                                                                                                                                                                                                                                                                                                                                                                      Filesize

                                                                                                                                                                                                                                                                                                                                                                                                                      280B

                                                                                                                                                                                                                                                                                                                                                                                                                      MD5

                                                                                                                                                                                                                                                                                                                                                                                                                      231020694e8d5b74a9c24372063484e0

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA1

                                                                                                                                                                                                                                                                                                                                                                                                                      6f2da9d0c02b786bcd58898f50b0ae1d742f6422

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA256

                                                                                                                                                                                                                                                                                                                                                                                                                      d235e7d71294ac2cd3693c95f24b2e46d2b15023a7fd3793b10a39f78fadb371

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA512

                                                                                                                                                                                                                                                                                                                                                                                                                      1d74a4d59171da9a342ba7560d80b2723bc6b93e34979fbe0eba4f435ad9921dcb0feaef39fba54f9a07b250fc2abbe01ce63cf8c82e26863668218a5ed9fe0c

                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Program Files (x86)\vxvchlkxszjkkpnmzrprpwbfer.tde

                                                                                                                                                                                                                                                                                                                                                                                                                      Filesize

                                                                                                                                                                                                                                                                                                                                                                                                                      280B

                                                                                                                                                                                                                                                                                                                                                                                                                      MD5

                                                                                                                                                                                                                                                                                                                                                                                                                      18efc8e0057a6de0aacd25e87eb2e1c7

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA1

                                                                                                                                                                                                                                                                                                                                                                                                                      df3a7fb11888b56ff66d0715c08f07fb96da1b21

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA256

                                                                                                                                                                                                                                                                                                                                                                                                                      575ca9f832799a7427bc0d5e5ffe17e97a8988392e1e8a9beadb0f9c6d6bdecd

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA512

                                                                                                                                                                                                                                                                                                                                                                                                                      f21a4b616c4c8fffe0a044e34d414a39b32ae22e305c26f90f05ad8dee11679a5ad30286a84a9e1f47b4b1bff87a312b5e59be6e86d80f9f44cadb3101b9e9e3

                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Program Files (x86)\vxvchlkxszjkkpnmzrprpwbfer.tde

                                                                                                                                                                                                                                                                                                                                                                                                                      Filesize

                                                                                                                                                                                                                                                                                                                                                                                                                      280B

                                                                                                                                                                                                                                                                                                                                                                                                                      MD5

                                                                                                                                                                                                                                                                                                                                                                                                                      fe6d44f267ba627a096559bff139a53b

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA1

                                                                                                                                                                                                                                                                                                                                                                                                                      a26f47476b8f73851cf2b0d34e85a300914b24b6

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA256

                                                                                                                                                                                                                                                                                                                                                                                                                      574436636053582bdce3176235a3e89d6c25f918b1baddcef74f8f842117c89b

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA512

                                                                                                                                                                                                                                                                                                                                                                                                                      e7192e98b4e458189c0713f87020bf9eb6918809213915d0f4e784e52402704a442d54685cd535ffcecedf94431e285e7a523af910d75ff0ddc1ad247201a659

                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Program Files (x86)\vxvchlkxszjkkpnmzrprpwbfer.tde

                                                                                                                                                                                                                                                                                                                                                                                                                      Filesize

                                                                                                                                                                                                                                                                                                                                                                                                                      280B

                                                                                                                                                                                                                                                                                                                                                                                                                      MD5

                                                                                                                                                                                                                                                                                                                                                                                                                      7792bf374814362fe03704bf85c06112

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA1

                                                                                                                                                                                                                                                                                                                                                                                                                      92f3cf7724da724d94ad045e76b557a4767f1595

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA256

                                                                                                                                                                                                                                                                                                                                                                                                                      b0eee999e16d56b07eed321e13d98300b0032fe1a4513359d5ac975059748859

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA512

                                                                                                                                                                                                                                                                                                                                                                                                                      a1dbb12f6fda46614068ca88f20d6e5fef24e50d3396c788480326bc660caa1ecfa619252c7a51d18c6b17987e8e488da56c225a0c623b6e4e2ea4d31677b419

                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Program Files (x86)\vxvchlkxszjkkpnmzrprpwbfer.tde

                                                                                                                                                                                                                                                                                                                                                                                                                      Filesize

                                                                                                                                                                                                                                                                                                                                                                                                                      280B

                                                                                                                                                                                                                                                                                                                                                                                                                      MD5

                                                                                                                                                                                                                                                                                                                                                                                                                      cad2bb495f935cf5b0264e66ad42cd2e

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA1

                                                                                                                                                                                                                                                                                                                                                                                                                      60a06786410a9911185f2128c9089d852518df3a

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA256

                                                                                                                                                                                                                                                                                                                                                                                                                      7897e2bd70503c3900793fa804db739f6c06969111679d8385e1b9b4c70f0ae6

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA512

                                                                                                                                                                                                                                                                                                                                                                                                                      a53f3c1b876970d8a21dbea555b9f353e4f0975ea7e5760d21412f8d57a1d4944350f1174ff0a4974dde2163d2ca31714c3452b8537fd72ff1b2b68da5958464

                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Program Files (x86)\vxvchlkxszjkkpnmzrprpwbfer.tde

                                                                                                                                                                                                                                                                                                                                                                                                                      Filesize

                                                                                                                                                                                                                                                                                                                                                                                                                      280B

                                                                                                                                                                                                                                                                                                                                                                                                                      MD5

                                                                                                                                                                                                                                                                                                                                                                                                                      aedc286d63ffe535e46ca30a24ccadee

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA1

                                                                                                                                                                                                                                                                                                                                                                                                                      cae6a5bf6db67fbfd779376a833dca61b754797c

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA256

                                                                                                                                                                                                                                                                                                                                                                                                                      d58d0238edbc3944122f362cc43ce8f583c5b4dda0dbe40b6a50d58af7a93f13

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA512

                                                                                                                                                                                                                                                                                                                                                                                                                      43658b63b45f59f4865b61811151434a0dc7938b5a4bacfb0f7cd1695b673992049bb04cbd39aa1b9cfb34c7daf212f51332ee84e2a76677593c1c620e1861e3

                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Users\Admin\AppData\Local\Temp\chisahj.exe

                                                                                                                                                                                                                                                                                                                                                                                                                      Filesize

                                                                                                                                                                                                                                                                                                                                                                                                                      700KB

                                                                                                                                                                                                                                                                                                                                                                                                                      MD5

                                                                                                                                                                                                                                                                                                                                                                                                                      5375f99dad321f22133d833010986f72

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA1

                                                                                                                                                                                                                                                                                                                                                                                                                      52e47c376992d1ac2272ff17bea8ee3570163328

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA256

                                                                                                                                                                                                                                                                                                                                                                                                                      25cd6168288dc12f89de839ab4c11fa67f6668a32c270e10b274b02c5e000142

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA512

                                                                                                                                                                                                                                                                                                                                                                                                                      09dc0592ec43afc7968c6af658caf9114fe7933f5a7f3fedb58d7d544ee5f808ea040494a3644628c52ace38d4f8b78f2fe58d7f9241cc56e3be745dd5e3a243

                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Users\Admin\AppData\Local\vxvchlkxszjkkpnmzrprpwbfer.tde

                                                                                                                                                                                                                                                                                                                                                                                                                      Filesize

                                                                                                                                                                                                                                                                                                                                                                                                                      280B

                                                                                                                                                                                                                                                                                                                                                                                                                      MD5

                                                                                                                                                                                                                                                                                                                                                                                                                      0aedd812ee0828972a85921724ae9b0e

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA1

                                                                                                                                                                                                                                                                                                                                                                                                                      86eef9f14cc51b8af35b06f23c1103e178cd5264

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA256

                                                                                                                                                                                                                                                                                                                                                                                                                      2da544593936fd0536777d46e3a3eba6717362b57fe6e8bb9c4f4543a9491439

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA512

                                                                                                                                                                                                                                                                                                                                                                                                                      9e872d5919c09aa5b98a80d5ba4aed0fa1e8d6dd37618dabd5f704c724ebd5f48c68c1f36944ff14d9327fcc53280e4ee9ac1eede0e625691119cc29b98002ab

                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Users\Admin\AppData\Local\vxvchlkxszjkkpnmzrprpwbfer.tde

                                                                                                                                                                                                                                                                                                                                                                                                                      Filesize

                                                                                                                                                                                                                                                                                                                                                                                                                      280B

                                                                                                                                                                                                                                                                                                                                                                                                                      MD5

                                                                                                                                                                                                                                                                                                                                                                                                                      c32bc75c2c415ab068f72cb8def2c575

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA1

                                                                                                                                                                                                                                                                                                                                                                                                                      06a95e05813b1799541b06b67b904c8bd0ff81cb

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA256

                                                                                                                                                                                                                                                                                                                                                                                                                      b0c77a7aa7ba90caf29fb0abe9994c7ca27c3700a269eb6e0788a732d139cc6f

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA512

                                                                                                                                                                                                                                                                                                                                                                                                                      eebf705d42e25681d99164b6e79e94a9eb84baf6d1605089545546e562596ea0d6f4a5abbf3f7b1795456c872e1fc60fed80d4b2b6358b0f539cc65b10ea01d0

                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\Users\Admin\AppData\Local\wjskapzxdvqcndmwuxgtcukzjhnfamxnwgehq.meu

                                                                                                                                                                                                                                                                                                                                                                                                                      Filesize

                                                                                                                                                                                                                                                                                                                                                                                                                      4KB

                                                                                                                                                                                                                                                                                                                                                                                                                      MD5

                                                                                                                                                                                                                                                                                                                                                                                                                      4d3a94eacfe378a80eca9b507573967e

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA1

                                                                                                                                                                                                                                                                                                                                                                                                                      29bf9775173cf9b9c37c14a9509eedf494a7a49b

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA256

                                                                                                                                                                                                                                                                                                                                                                                                                      462974ae8baaab79688b4de26f47d464be73f15b6726c7904a3748d90d14f871

                                                                                                                                                                                                                                                                                                                                                                                                                      SHA512

                                                                                                                                                                                                                                                                                                                                                                                                                      df9a9e075dccfd3c89d9bfc544c6bb8b37e1e99e82be4b64201ae15141a1c48513aa463c179a3eabebf1b5b378484aebbea5119eb822746ddc50de83cb208a16