blackmoon | 32cb3af974ccb3dc8d388295ecfe21b012282d1e8864cdef9461167fc451a89d

Analysis

max time kernel
35s
max time network
103s
platform
windows11-21h2_x64
resource
win11-20250410-en
resource tags

arch:x64arch:x86image:win11-20250410-enlocale:en-usos:windows11-21h2-x64system
submitted
22/04/2025, 05:53

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe
Size

135KB
MD5

ccc14f94eccf3f722d49c668490b3075
SHA1

3a5c5f492693560e5ce944eb72c8686eb9a39a34
SHA256

32cb3af974ccb3dc8d388295ecfe21b012282d1e8864cdef9461167fc451a89d
SHA512

d79db53e3f13fa9ddf56c30720d7704a2f666ee65c1bc99eb79d9e5dbf2e7e83d7cc49ca3a1db0b79474fe7a0c9d933a7005dce43f71b757ee965c7be69cd514
SSDEEP

3072:tK09Db3ZwZfUvcELArb5dSUDWXgnUy+PUOU2ge4fGu9V3+ws:tnp34GA/SUsHU2g1GgV3S

Score

10^/10

blackmoon banker defense_evasion discovery persistence trojan vmprotect

Malware Config

Signatures

Blackmoon family
blackmoon
Blackmoon, KrBanker
Blackmoon also known as KrBanker is banking trojan first discovered in early 2014.
trojan banker blackmoon

Detect Blackmoon payload 1 IoCs

resource	yara_rule
behavioral2/memory/2700-17-0x0000000000400000-0x000000000043E000-memory.dmp	family_blackmoon

Drops file in Drivers directory 1 IoCs

description	ioc	Process
File opened for modification	C:\Windows\system32\drivers\etc\hosts	JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe

Executes dropped EXE 1 IoCs

pid	Process
5004	uMuezr352.exe

Loads dropped DLL 31 IoCs

pid	Process
3564	rundll32.exe
1468	rundll32.exe
3316	rundll32.exe
4560	rundll32.exe
1464	rundll32.exe
4992	rundll32.exe
1176	rundll32.exe
2972	rundll32.exe
5268	rundll32.exe
1048	rundll32.exe
6088	rundll32.exe
2260	rundll32.exe
1172	rundll32.exe
5820	rundll32.exe
4464	rundll32.exe
1828	rundll32.exe
5764	rundll32.exe
5500	rundll32.exe
3780	rundll32.exe
1612	rundll32.exe
1844	rundll32.exe
3172	rundll32.exe
2876	rundll32.exe
2768	rundll32.exe
4756	rundll32.exe
2688	rundll32.exe
5356	rundll32.exe
5352	rundll32.exe
4704	rundll32.exe
4104	rundll32.exe
5316	rundll32.exe

VMProtect packed file 1 IoCs

Detects executables packed with VMProtect commercial packer.

vmprotect

resource	yara_rule
behavioral2/files/0x001a00000002b0fe-13.dat	vmprotect

Adds Run key to start application 2 TTPs 1 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-4239789418-2672923313-1754393631-1000\Software\Microsoft\Windows\CurrentVersion\Run\Configuring = "rundll32.exe C:\\Users\\Admin\\AppData\\Local\\Temp\\240607265.txt,M"	rundll32.exe

Indicator Removal: File Deletion 1 TTPs
Adversaries may delete files left behind by the actions of their intrusion activity.
defense_evasion

File Deletion
T1070.004
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

System Location Discovery: System Language Discovery 1 TTPs 35 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	uMuezr352.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rundll32.exe

Suspicious behavior: EnumeratesProcesses 10 IoCs

pid	Process
2700	JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe
2700	JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe
2700	JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe
2700	JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe
2700	JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe
2700	JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe
2700	JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe
2700	JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe
2700	JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe
2700	JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe

Suspicious use of SetWindowsHookEx 30 IoCs

pid	Process
3564	rundll32.exe
1468	rundll32.exe
3316	rundll32.exe
4560	rundll32.exe
1464	rundll32.exe
4992	rundll32.exe
1176	rundll32.exe
2972	rundll32.exe
5268	rundll32.exe
1048	rundll32.exe
6088	rundll32.exe
2260	rundll32.exe
1172	rundll32.exe
5820	rundll32.exe
4464	rundll32.exe
1828	rundll32.exe
5764	rundll32.exe
5500	rundll32.exe
3780	rundll32.exe
1612	rundll32.exe
1844	rundll32.exe
3172	rundll32.exe
2876	rundll32.exe
2768	rundll32.exe
4756	rundll32.exe
2688	rundll32.exe
5356	rundll32.exe
5352	rundll32.exe
4704	rundll32.exe
4104	rundll32.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2700 wrote to memory of 5004	2700	JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe	79
PID 2700 wrote to memory of 5004	2700	JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe	79
PID 2700 wrote to memory of 5004	2700	JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe	79
PID 5004 wrote to memory of 3564	5004	uMuezr352.exe	80
PID 5004 wrote to memory of 3564	5004	uMuezr352.exe	80
PID 5004 wrote to memory of 3564	5004	uMuezr352.exe	80
PID 5004 wrote to memory of 5460	5004	uMuezr352.exe	81
PID 5004 wrote to memory of 5460	5004	uMuezr352.exe	81
PID 5004 wrote to memory of 5460	5004	uMuezr352.exe	81
PID 2700 wrote to memory of 2284	2700	JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe	83
PID 2700 wrote to memory of 2284	2700	JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe	83
PID 2700 wrote to memory of 2284	2700	JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe	83
PID 1688 wrote to memory of 428	1688	cmd.exe	87
PID 1688 wrote to memory of 428	1688	cmd.exe	87
PID 428 wrote to memory of 1468	428	rundll32.exe	88
PID 428 wrote to memory of 1468	428	rundll32.exe	88
PID 428 wrote to memory of 1468	428	rundll32.exe	88
PID 6076 wrote to memory of 5056	6076	cmd.exe	91
PID 6076 wrote to memory of 5056	6076	cmd.exe	91
PID 5056 wrote to memory of 3316	5056	rundll32.exe	92
PID 5056 wrote to memory of 3316	5056	rundll32.exe	92
PID 5056 wrote to memory of 3316	5056	rundll32.exe	92
PID 2424 wrote to memory of 2360	2424	cmd.exe	95
PID 2424 wrote to memory of 2360	2424	cmd.exe	95
PID 2360 wrote to memory of 4560	2360	rundll32.exe	96
PID 2360 wrote to memory of 4560	2360	rundll32.exe	96
PID 2360 wrote to memory of 4560	2360	rundll32.exe	96
PID 3348 wrote to memory of 4412	3348	cmd.exe	99
PID 3348 wrote to memory of 4412	3348	cmd.exe	99
PID 4412 wrote to memory of 1464	4412	rundll32.exe	100
PID 4412 wrote to memory of 1464	4412	rundll32.exe	100
PID 4412 wrote to memory of 1464	4412	rundll32.exe	100
PID 1460 wrote to memory of 764	1460	cmd.exe	103
PID 1460 wrote to memory of 764	1460	cmd.exe	103
PID 764 wrote to memory of 4992	764	rundll32.exe	104
PID 764 wrote to memory of 4992	764	rundll32.exe	104
PID 764 wrote to memory of 4992	764	rundll32.exe	104
PID 4684 wrote to memory of 3128	4684	cmd.exe	107
PID 4684 wrote to memory of 3128	4684	cmd.exe	107
PID 3128 wrote to memory of 1176	3128	rundll32.exe	108
PID 3128 wrote to memory of 1176	3128	rundll32.exe	108
PID 3128 wrote to memory of 1176	3128	rundll32.exe	108
PID 5156 wrote to memory of 1628	5156	cmd.exe	111
PID 5156 wrote to memory of 1628	5156	cmd.exe	111
PID 1628 wrote to memory of 2972	1628	rundll32.exe	112
PID 1628 wrote to memory of 2972	1628	rundll32.exe	112
PID 1628 wrote to memory of 2972	1628	rundll32.exe	112
PID 3604 wrote to memory of 4928	3604	cmd.exe	115
PID 3604 wrote to memory of 4928	3604	cmd.exe	115
PID 4928 wrote to memory of 5268	4928	rundll32.exe	116
PID 4928 wrote to memory of 5268	4928	rundll32.exe	116
PID 4928 wrote to memory of 5268	4928	rundll32.exe	116
PID 2124 wrote to memory of 4576	2124	cmd.exe	119
PID 2124 wrote to memory of 4576	2124	cmd.exe	119
PID 4576 wrote to memory of 1048	4576	rundll32.exe	120
PID 4576 wrote to memory of 1048	4576	rundll32.exe	120
PID 4576 wrote to memory of 1048	4576	rundll32.exe	120
PID 2004 wrote to memory of 960	2004	cmd.exe	123
PID 2004 wrote to memory of 960	2004	cmd.exe	123
PID 960 wrote to memory of 6088	960	rundll32.exe	124
PID 960 wrote to memory of 6088	960	rundll32.exe	124
PID 960 wrote to memory of 6088	960	rundll32.exe	124
PID 2572 wrote to memory of 2156	2572	cmd.exe	127
PID 2572 wrote to memory of 2156	2572	cmd.exe	127

C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe
"C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe"
1⤵
- Drops file in Drivers directory
- System Location Discovery: System Language Discovery
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:2700
- C:\Users\Admin\AppData\Local\Temp\uMuezr352.exe
  C:\Users\Admin\AppData\Local\Temp\uMuezr352.exe
  2⤵
  - Executes dropped EXE
  - System Location Discovery: System Language Discovery
  - Suspicious use of WriteProcessMemory
  PID:5004
- - C:\Windows\SysWOW64\rundll32.exe
    "C:\Windows\system32\rundll32.exe" C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - Adds Run key to start application
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:3564
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Local\Temp\240607265.bat
    3⤵
    - System Location Discovery: System Language Discovery
    PID:5460
- C:\Windows\SysWOW64\cmd.exe
  cmd /c del "C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_ccc14f94eccf3f722d49c668490b3075.exe"
  2⤵
  - System Location Discovery: System Language Discovery
  PID:2284

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
- Suspicious use of WriteProcessMemory
PID:1688
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:428
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:1468

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
- Suspicious use of WriteProcessMemory
PID:6076
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:5056
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:3316

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
- Suspicious use of WriteProcessMemory
PID:2424
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2360
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:4560

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
- Suspicious use of WriteProcessMemory
PID:3348
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:4412
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:1464

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
- Suspicious use of WriteProcessMemory
PID:1460
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:764
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:4992

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
- Suspicious use of WriteProcessMemory
PID:4684
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:3128
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:1176

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
- Suspicious use of WriteProcessMemory
PID:5156
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:1628
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:2972

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
- Suspicious use of WriteProcessMemory
PID:3604
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:4928
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:5268

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
- Suspicious use of WriteProcessMemory
PID:2124
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:4576
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:1048

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
- Suspicious use of WriteProcessMemory
PID:2004
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:960
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:6088

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
- Suspicious use of WriteProcessMemory
PID:2572
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2156
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:2260

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4816
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1136
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:1172

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:224
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4248
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:5820

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5492
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1548
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:4464

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:776
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3544
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:1828

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3860
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:736
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:5764

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:484
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2096
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:5500

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:6084
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5912
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:3780

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:1988
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3756
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:1612

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4916
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5876
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:1844

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4204
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1144
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:3172

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3372
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4772
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:2876

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5748
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3328
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:2768

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4116
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5772
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:4756

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:1124
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5068
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:2688

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5448
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3208
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:5356

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3896
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:6020
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:5352

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4260
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3852
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:4704

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:1228
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5572
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    - Suspicious use of SetWindowsHookEx
    PID:4104

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4752
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4512
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    - Loads dropped DLL
    - System Location Discovery: System Language Discovery
    PID:5316

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4404
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1980
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:1860

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3164
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1812
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4552

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4380
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:6076
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4452

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4500
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:424
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:956

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3652
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2364
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2404

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3676
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2780
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:3944

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4688
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2320
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4692

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2420
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5896
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5164

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3416
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2804
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5984

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5256
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5924
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4900

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2400
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1224
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4444

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2196
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3712
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2572

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:1964
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5296
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:3448

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4852
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3440
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:1100

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4120
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:280
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4464

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4808
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2680
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:1288

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5844
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:776
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5204

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5036
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3216
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:672

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2560
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2096
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5856

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:484
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2168
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2740

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:1052
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1028
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4200

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4072
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3228
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2524

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2416
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1636
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:568

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:6132
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3396
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:3352

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5552
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2768
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:3328

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3964
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4756
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5772

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2484
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1556
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4956

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4472
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:6004
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5364

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3100
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5816
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5564

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:1940
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5440
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5328

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3332
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4260
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5928

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:1012
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4400
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5484

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5460
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4224
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:648

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2992
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5252
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:1416

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5496
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1996
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:1632

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5072
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5100
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:3316

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:8
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5576
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4500

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:1464
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4336
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5848

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3784
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4356
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2348

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:1164
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2320
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:460

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5136
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5196
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:6108

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5188
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1076
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2804

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5268
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5852
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4576

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2076
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4444
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:1224

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5588
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2608
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:3004

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2156
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1136
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:1172

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4872
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4800
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:3824

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3476
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:748
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5752

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:820
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:340
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:1288

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5804
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:644
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2600

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:668
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1976
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:768

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:456
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5036
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:3008

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5856
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1908
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4132

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2740
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1208
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:3064

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4952
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1612
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5776

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2300
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:6116
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:1948

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2040
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4916
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:3588

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2580
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3408
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5904

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2904
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5020
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:3372

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:108
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1236
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:3140

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:892
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2948
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:1868

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:684
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5356
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5584

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5960
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5352
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5320

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2344
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4716
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5324

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3212
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5476
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4704

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5484
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3740
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:3380

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:648
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5460
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5348

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2324
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1860
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4552

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3164
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3512
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4904

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5092
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5060
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2356

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2176
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4736
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:3652

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4412
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3520
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:1460

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2348
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3784
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5724

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5540
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4692
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5172

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3136
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5156
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4688

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3224
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3920
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2420

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:1692
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:436
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5168

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:1048
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2444
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2076

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3400
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4828
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4488

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4864
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3044
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2156

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4644
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3528
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4816

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:248
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4836
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:236

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5824
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2532
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4676

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3624
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1596
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5804

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:840
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:836
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2976

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5052
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3992
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:3216

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2460
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3600
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2492

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:1440
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3752
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:948

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5284
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5340
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:816

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4720
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5368
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:1732

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2884
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2524
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2300

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3588
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2040
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5672

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5904
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3352
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:6016

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4440
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5980
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4468

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3160
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:108
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4544

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2688
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5808
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5920

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5628
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4140
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2224

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:1400
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1388
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:3912

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5328
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3032
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2920

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3332
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4712
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5420

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3740
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4224
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2852

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5460
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1980
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5056

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:1860
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1500
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4352

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:3512
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5312
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4892

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:1468
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2280
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:3652

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:2392
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4344
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:1460

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:1216
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2464
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5724

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4372
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:5124
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5172

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5208
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:3304
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:4688

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5176
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:1920
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2420

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4928
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:4944
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:5168

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:4276
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2256
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2440

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
1⤵
PID:5588
- C:\Windows\system32\rundll32.exe
  rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
  2⤵
  PID:2608
- - C:\Windows\SysWOW64\rundll32.exe
    rundll32.exe C:\Users\Admin\AppData\Local\Temp\240607265.txt,M
    3⤵
    PID:2644

Network

MITRE ATT&CK Enterprise v16

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Defense Evasion

Indicator Removal

T1070

File Deletion

T1070.004

Modify Registry

T1112

Credential Access

Discovery

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\240607265.bat

Filesize
134B

MD5
1246d006092cd594af657729be709144

SHA1
3d1786a4169981c62072e83cb6c7ecae725c617d

SHA256
fcf63c5a99e7b13dba6151f1cfef9e77718a569a4ada45ba1cff5ffc6232d4fe

SHA512
5b1decc391b5b53cd705a5305ef6b7158e1f505d772c9e9c7a1de63174206a4cfc4735a671ad1ae5ae8463a15c2373987064e20dcb1717793fddac0fc1c26052

Download Submit
C:\Users\Admin\AppData\Local\Temp\240607265.txt

Filesize
107KB

MD5
530159833a59fe0a710aeb84b3f321b2

SHA1
1e20c825771b5db1cb1bb4125be4f1dd3a37c74f

SHA256
87306c8ff3346c43147b4edd23478817913502b72c676a84767b9d7234375a7b

SHA512
86e72f0c1064a1f6c55dd5576bc2c34b4707a7a7787e88ed03401a689d7329f847d7ed02e9005cd6367e4dfaed890ba97c7cfe33a9fa52073aa4655db0db72f1

Download Submit
memory/2700-0-0x0000000000400000-0x000000000043E000-memory.dmp

Filesize
248KB

Download
memory/2700-1-0x0000000000530000-0x0000000000533000-memory.dmp

Filesize
12KB

Download
memory/2700-17-0x0000000000400000-0x000000000043E000-memory.dmp

Filesize
248KB

Download
memory/5004-7-0x0000000000400000-0x0000000001400000-memory.dmp

Filesize
16.0MB

Download
memory/5004-11-0x0000000000400000-0x0000000001400000-memory.dmp

Filesize
16.0MB

Download