OneBrowser

تمثل التطبيقات غير الموثوقة التي تتلاعب بإعدادات المتصفح دون موافقة مخاطر كبيرة على أمن المستخدمين وخصوصيتهم عبر الإنترنت. قد تعمل هذه البرامج، المصنفة على أنها برامج غير مرغوب فيها (PUPs)، على تغيير طريقة عمل المتصفح، وإعادة توجيه حركة المرور إلى مواقع مشكوك فيها وتتبع أنشطة التصفح لجمع البيانات. أحد هذه البرامج الخاطفة للمتصفح المتطفلة هو OneBrowser، الذي يتداخل مع تفضيلات المستخدم ويروج لمحركات البحث المشبوهة. يعد فهم كيفية عمله وانتشاره أمرًا ضروريًا للحفاظ على تجربة تصفح آمنة.

ما هو OneBrowser؟

OneBrowser هو تطبيق تدخلي يقوم بتعديل إعدادات المتصفح لإجبار المستخدمين على استخدام محركات بحث غير موثوقة. فبدلاً من تقديم نتائج بحث ذات صلة وجديرة بالثقة، قد تعطي هذه المحركات الأولوية للمحتوى المدعوم أو الإعلانات المضللة أو حتى توجيه المستخدمين إلى مواقع ويب محفوفة بالمخاطر. غالبًا ما تتضمن التعديلات التي يفرضها OneBrowser تغييرات على الصفحة الرئيسية الافتراضية ومزود البحث وإعدادات علامة التبويب الجديدة.

بمجرد تثبيته، قد يقوم هذا الخاطف للمتصفح أيضًا بحقن إعلانات مفرطة في صفحات الويب، والتسبب في عمليات إعادة توجيه متكررة، والتلاعب باستعلامات البحث لصالح شركاء الجهات الخارجية. غالبًا ما يواجه المستخدمون أداءً بطيئًا في التصفح، ونوافذ منبثقة غير مرغوب فيها، وصعوبة في استعادة إعدادات المتصفح الخاصة بهم.

كيف يؤثر OneBrowser على تجربة التصفح

يؤدي وجود OneBrowser على النظام إلى ظهور العديد من الإزعاجات والمخاوف الأمنية. قد يواجه المستخدمون:

• إعادة التوجيه القسري : قد يتم إعادة توجيه استعلامات البحث وزيارات موقع الويب إلى محركات بحث مشبوهة أو صفحات تابعة تولد إيرادات للمشغلين وراء OneBrowser.
• الإعلانات المتطفلة : قد تظهر النوافذ المنبثقة واللافتات والإعلانات النصية بشكل متكرر، مما يؤدي إلى عروض مشكوك فيها أو صفحات خادعة أو حتى عروض ترويجية مزيفة.
• مخاطر تتبع البيانات : قد يراقب مخترق المتصفح عادات التصفح وسجل البحث والتفاصيل الشخصية. يمكن استخدام البيانات المجمعة للإعلان المستهدف أو حتى بيعها لأطراف ثالثة.
• إزالة يدوية صعبة : قد يجد المستخدمون الذين يحاولون استعادة إعدادات المتصفح يدويًا أن OneBrowser يظل موجودًا، وفي بعض الأحيان يعيد تثبيت نفسه حتى بعد محاولات إلغاء التثبيت.

تكتيكات توزيع البرامج غير المرغوبة المشكوك فيها

غالبًا ما لا تعتمد البرامج غير المرغوب فيها مثل OneBrowser على عمليات التنزيل المباشرة من المستخدم، بل تنتشر بدلاً من ذلك من خلال تكتيكات التوزيع المضللة، مما يجعل من الصعب اكتشافها قبل التثبيت. تتضمن الطرق الشائعة ما يلي:

• تجميع البرامج: قد يكون OneBrowser مخفيًا داخل برامج التثبيت الخاصة بالتطبيقات المجانية من مواقع الطرف الثالث. قد يسمح المستخدمون الذين يسرعون في عمليات التثبيت دون مراجعة الخيارات بدخوله إلى أنظمتهم دون علمهم.
• تحديثات البرامج المزيفة: قد تقوم رسائل التحديث الاحتيالية التي تدعي تقديم التصحيحات اللازمة للمتصفحات أو مشغلات الوسائط أو البرامج الأخرى بتثبيت OneBrowser سراً بدلاً من ذلك.
• الإعلانات الاحتيالية: قد يؤدي النقر فوق الإعلانات الخادعة التي تعد بخدمات مجانية أو هدايا مجانية أو تحسينات في الأداء إلى تنزيل برامج ضارة بشكل غير مقصود.
• المواقع الإلكترونية المخترقة: قد تؤدي زيارة مواقع محددة غير موثوقة إلى تشغيل نصوص برمجية تلقائية تحاول تثبيت ملحقات غير مرغوب فيها للمتصفح أو تعديل إعدادات المتصفح.

تعزيز الدفاعات ضد متصفحات الخاطفين

لتقليل مخاطر مواجهة البرامج غير المرغوب فيها مثل OneBrowser، يجب على المستخدمين اتخاذ تدابير أمنية استباقية، بما في ذلك:

• تثبيت البرامج بعناية : اختر دائمًا الإعدادات "مخصصة" أو "متقدمة" أثناء تثبيت البرامج لتحديد العروض المجمعة ورفضها.
• تجنب الإعلانات والروابط المشبوهة : تجنب النقر على النوافذ المنبثقة أو المحتوى الترويجي من مصادر غير معروفة، حيث قد يؤدي ذلك إلى تنزيلات خادعة.
• الحفاظ على تحديث البرامج : تأكد من تحديث المتصفحات والبرامج الأساسية من مصادر رسمية فقط لمنع التعرض لعمليات الاحتيال المتعلقة بالتحديثات المزيفة.
• استخدام أدوات أمان موثوقة : قد تساعد برامج الأمان ذات الحماية في الوقت الفعلي على اكتشاف التعديلات غير المصرح بها في المتصفح ومنعها.
• مراجعة الإضافات والإعدادات بشكل منتظم : تحقق بشكل دوري من إضافات المتصفح المثبتة وأعد تعيين إعدادات المتصفح إذا تم اكتشاف أي تغييرات غير مصرح بها.

من خلال البقاء يقظين وتنفيذ ممارسات الأمان هذه، يمكن للمستخدمين حماية أنفسهم بشكل أفضل من مخترقي المتصفح المتطفلين والحفاظ على السيطرة على تجربة التصفح الخاصة بهم.

تقرير التحليل

معلومات عامة

Family Name:	OneBrowser
Signature status:	Self Signed

Known Samples

i

Known Samples

This section lists other file samples believed to be associated with this family.

MD5: e810fdd67f792f51677eb41147031d1e SHA1: 64eaeeb21a0a88ecde826f57305af566909e8c97 SHA256: 6E1F84E3B1A1681C7FD2E643130433DBA9E12D442A433B0FC714E9FFC84D7FD0 حجم الملف: 6.77 MB, 6766600 bytes

MD5: 04871138a46b1e55c4898530c95be835 SHA1: cde11f7d08536e148b8c70182cb66a389200f9d8 SHA256: DF1B14CCD5D08C61E8BB2327D1AF264E09D7274C49F21D84E6141209875ACF71 حجم الملف: 15.37 KB, 15368 bytes

MD5: 952071dcb852425349ad191050699518 SHA1: b5825f3a889b9e1b0cf380230158ca16f62184c1 SHA256: 0055AE7323E8FBC5FAD5FC3E651929DEBF6EBB82D2CF3C885C71ED03E4E8A336 حجم الملف: 4.25 MB, 4251144 bytes

MD5: 0eb3d14380dd71d54dff49a641b48036 SHA1: 7f06413aa0b71f815e49f63944d84cf7e0c926a8 SHA256: 1A2E843630CE3CF0AB4FCEC4D4A259FEFD792EF2C0BB108A1E658B23CA5F781A حجم الملف: 4.07 MB, 4070408 bytes

MD5: c5f5c43c21d5e96466bc89f636369faa SHA1: 76ff31a1625519f9cfe7e950abfb80412f4c2918 SHA256: A40D4C0285751682187667B96CDB9C2ED036FD4C275B05B07BA41E3F6C8ECFBF حجم الملف: 12.82 KB, 12816 bytes

Show More

MD5: 9d99e2bb05e6983e4c9d8d0d1384b29f SHA1: bb4f803c2dc0c75657c6683bf4b53d3bede9e3c6 SHA256: 7169C12461282FFD238DFAC0908F48680E479894187A64D0EA574FBA900FA8AA حجم الملف: 103.84 KB, 103840 bytes

MD5: 4cacef2c307a98bb584b065485f6419d SHA1: 0624e96b1303911965f4857b146f75d2965a0fe2 SHA256: FAF7AB545E70A97E5BCC3C58A98962D27C91AA96E8AE0994CF27AD5E5D964917 حجم الملف: 12.82 KB, 12816 bytes

MD5: 421111e2e972c2dc02509565dfe58b9a SHA1: 0ca767ac8acb598cdedd6ad711234ab74f68389c SHA256: 7016BD65896DA09D15CDA98C974D9F7AEA9F7A1EC1B8BA89BBA6B6E024DCE6E9 حجم الملف: 104.35 KB, 104352 bytes

MD5: 483f9c126954a555c10f26f976a32f50 SHA1: 33eba8b9ed316a3718b90e72d37819986d249b9a SHA256: 64EC17CF92438D0A961CC67B367E5D3F499DCD4E90A3239D81B685D18E80AD8E حجم الملف: 3.31 MB, 3309584 bytes

MD5: 48d3eb964fd9b62572d77e98a8a6aa15 SHA1: 649e71c6405a5f4ba101c7cd50f336492d8438b3 SHA256: 40BBF1D5AE1CF313AA31467BDB51F3A7D1D412BF3A5C262D6AB481F089D887C5 حجم الملف: 12.82 KB, 12816 bytes

MD5: dba03ab3be9f17a389166b7369e2acc4 SHA1: 57e9c9c3b26315504cddbcb43f9d54722505ec4d SHA256: 48AC6CC9978B7F63F23D6420F76BBCAC97243D16D19C25C9D5ADCA47FBF587A3 حجم الملف: 91.66 KB, 91664 bytes

MD5: 78c66c9be1bef8db266c0dfca55640ae SHA1: 3d7ec646ef62f1ccf613da86163db98a2cf5a856 SHA256: 55EDBBE4767D8375CE732893478CA78FAF0B3C2CE44E169AD18E55C66533B03D حجم الملف: 4.25 MB, 4251144 bytes

MD5: a36f5d837ad1411aadd1d051564a07b7 SHA1: cbdaea221176488c5d69fbe8ebc869b59c4a5ab0 SHA256: B44B6C273DA470D8BC9A6D21501CCCD7E32DA794A91F02EB2F0A7428F2F7E510 حجم الملف: 6.84 MB, 6839816 bytes

MD5: 5aa120ee57bf8dbe30e78ced9d1c7e0f SHA1: b60364cde63fc62fd33cd4b782926f33f7d6d126 SHA256: 9BEC78B77027742A72E215AC24775F7CC27930987333D47C60A6BD953A3F58C9 حجم الملف: 6.85 MB, 6854152 bytes

MD5: b912ff7b2e3bafff09e790b5c6325034 SHA1: 9ca5c68665f67646d361349af0b48332e69b28a4 SHA256: 58593A82A2E26D37CF4752985CD38B4DCD1E15720664E0C4A45E9D18C2EB7C94 حجم الملف: 15.37 KB, 15368 bytes

MD5: 3137246262b9b0467ecc01033147cf28 SHA1: 788d0f7d5253e84c34a220e92dbcb5866cd0f713 SHA256: 7308680634A887944EFE20288C5A187DE6F1BD9CBCC81A62B2F88601ABAB1242 حجم الملف: 5.43 MB, 5432840 bytes

MD5: 3f3e0fedb534c5b8b2b5a04e7a021f17 SHA1: 8cc5ce48e553e73d798f2ce178c96c177f07ac15 SHA256: 493E6B44B84ACCFC38C05C9C1011B944E9AB4115830D8D8A3EFA35A76DD901B2 حجم الملف: 6.85 MB, 6854664 bytes

MD5: bad70f661b1a50f4d5785e1680c60ebf SHA1: 0feb753ffec52f6c8e7f50a4c9146a0b8a4b87a2 SHA256: 67107FB66F5C8BB5601F35A7E6B16D84A6920F3A2A639ADFC848DAA221295795 حجم الملف: 4.80 MB, 4800008 bytes

MD5: 1e17bf103f32f7406c73ddbbd6da1618 SHA1: 160fac2e0905ec8f3128439b99b2a255994d6af8 SHA256: 3D396E49DB2395547B7B23DF2B9DBC8928A09300A9E455DF27D46A3BBBDEEEAF حجم الملف: 3.37 MB, 3373064 bytes

MD5: 3654eb0cc6e4caf49709a06cffb87932 SHA1: 93bd5ab386c328249179781710dcbd16f96cbb40 SHA256: 91ABCF473E6D0C68519B911D7A87A16C2AEB744520BA71FCA5CC3859068E56B8 حجم الملف: 4.80 MB, 4800008 bytes

MD5: be43e3ecfdfe09d3652cdf982a89506a SHA1: f2b2f2e4a994a5c0d1db4245b7f9d34d685abe85 SHA256: 9437A1E6BE6BC6C7A9F9EF9F626CF22DDAF577BB490A431984313C89C5E0EB4B حجم الملف: 4.40 MB, 4404128 bytes

MD5: 79a53ad54109938cc7a719aed40308d1 SHA1: 33bc9d3e704d4df6e1b990f92759f590d51f40a6 SHA256: 14F867858C8136C1F27DA6A5E2076F59BFE22C0DD14A0B3F37267726CA7A9CE2 حجم الملف: 4.80 MB, 4803592 bytes

MD5: 2dd98794fb9899a0e049abb3740112f3 SHA1: 54ed54fc13e122cfc5e6d3308d2b7a08109270d0 SHA256: 8D0AFBF2170365F183652E30665F7BB49AF2E9EF97E386357C2E701950A7381C حجم الملف: 1.13 MB, 1125384 bytes

MD5: 4e64a6b07cad0374c5c669db6033f00a SHA1: c751a871a85ed16977f37f0368b7957fef8780fa SHA256: 03A1954EF413E1A0E726EE5F698BE789A8F73B177B16B7D368EB25DC08B6251A حجم الملف: 6.39 MB, 6394376 bytes

Windows Portable Executable Attributes

i

Windows Portable Executable Attributes

This section lists file attributes found within family samples. These attributes are extracted from the files’ Windows PE (Portable Executable) specification and various system flags. Portable Executable Attributes give malware researchers insight into a file’s functionality, executable details, platform and runtime environment.

• File doesn't have "Rich" header
• File doesn't have exports table
• File has exports table
• File has TLS information
• File is 32-bit executable
• File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
• File is either console or GUI application
• File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
• File is Native application (NOT .NET application)
• File is not packed

Show More

• IMAGE_FILE_DLL is not set inside PE header (Executable)
• IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

i

File Icons

This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.

Windows PE Version Information

i

Windows PE Version Information

This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.

اسم	قيمة
Company Name	Chickadee Digital, LLC WORK PRODUCT, INC. Work Product Inc. WorkProduct Inc. WP Inc. WProduct Inc.
Company Short Name	Chickadee Digital, LLC WORK PRODUCT, INC. Work Product Inc. WorkProduct Inc. WP Inc. WProduct Inc.
File Description	OBr_Installer OB_Installer OnB Installer OnBr Installer OnBsr Installer OneB Browser Setup OneBrowser OneBrowser Installer
File Version	137.0.7151.69 115.0.5790.171 109.0.5414.121 109.0.5414.120 108.0.5359.125 1.3.81.10 1.3.80.10
Internal Name	chrome_wer_dll eventlog_provider_dll mini_installer OneB Browser Setup OneBrowser Installer setup
Last Change	0 0b41cf178df5ebd22252d11719fe2d784d31c266-refs/branch-heads/7151@{#1874} 04b0d1dbeaf2ace7f88a791efa178fc34bf57eab-refs/branch-heads/5359@{#1180} 168eebf2055fd26ca8c71787b7b3f9fe7c90d13d-refs/branch-heads/5414@{#1459} cf9067bf10d8f798c24643029af1d24e275646d6-refs/branch-heads/5790@{#1924}
Legal Copyright	Copyright 2022 Chickadee Digital, LLC. All rights reserved. Copyright 2023 Chickadee Digital, LLC. All rights reserved. Copyright 2023 WORK PRODUCT, INC. All rights reserved. Copyright 2025 WORK PRODUCT, INC. Copyright 2025 WORK PRODUCT, INC. All rights reserved. Copyright 2025 Work Product Inc. All rights reserved. Copyright 2026 Work Product Inc. Copyright 2026 WorkProduct Inc. All rights reserved. Copyright 2026 WorkProductInc All rights reserved. Copyright 2026 WP Inc. All rights reserved. Show More Copyright 2026 WProduct Inc. All rights reserved.
Official Build	1
Original Filename	chrome_wer.dll eventlog_provider.dll OBUpdateService.exe OneBUpdateService.exe
Product Name	OBr_Installer OB_Installer OnB Installer OnBr Installer OnBsr Installer OneB Browser Upgrader OneBrowser OneBrowser Installer OneBrowser Update
Product Short Name	OBr_Installer OB_Installer OnB Installer OnBr Installer OnBsr Installer OneBrowser OneBrowser Installer
Product Version	137.0.7151.69 115.0.5790.171 109.0.5414.121 109.0.5414.120 108.0.5359.125 1.3.81.10 1.3.80.10

Digital Signatures

i

Digital Signatures

This section lists digital signatures that are attached to samples within this family. When analyzing and verifying digital signatures, it is important to confirm that the signature’s root authority is a well-known and trustworthy entity and that the status of the signature is good. Malware is often signed with non-trustworthy “Self Signed” digital signatures (which can be easily created by a malware author with no verification). Malware may also be signed by legitimate signatures that have an invalid status, and by signatures from questionable root authorities with fake or misleading “Signer” names.

Signer	Root	Status
Work Product Inc.	GoGetSSL G4 CS RSA4096 SHA256 2022 CA-1	Self Signed
WORK PRODUCT, INC.	SSL.com EV Code Signing Intermediate CA RSA R3	Self Signed
Chickadee Digital, LLC	Sectigo Public Code Signing Root R46	Root Not Trusted

Block Information

i

Block Information

During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.

Similar Families

i

Similar Families

This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.

• Agent.AN
• Kryptik.CBX
• Kryptik.CBXA
• OneBrowser.A
• Trojan.Agent.Gen.AJG

Show More

• Trojan.Agent.Gen.APA
• Trojan.Agent.Gen.SX
• Trojan.Kryptik.Gen.COR
• Trojan.ShellcodeRunner.Gen.FF

Files Modified

i

Files Modified

This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.

File	Attributes
c:\users\user\downloads\72fa0ff3_obupdate.conf	Generic Write,Read Attributes

Registry Modifications

i

Registry Modifications

This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.

Key::Value	بيانات	API Name
HKLM\software\wow6432node\onebrowser::hb		RegNtPreCreateKey
HKLM\software\wow6432node\onebrowser::72fa0ff3_installid		RegNtPreCreateKey

Windows API Usage

i

Windows API Usage

This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.

Category	API
Network Wininet	HttpOpenRequest HttpSendRequest InternetConnect InternetOpen InternetQueryOption InternetReadFile InternetSetOption
Anti Debug	NtQuerySystemInformation
Network Winhttp	WinHttpOpen
Syscall Use	ntdll.dll!NtAlpcSendWaitReceivePort ntdll.dll!NtClose ntdll.dll!NtCreateFile ntdll.dll!NtCreateSection ntdll.dll!NtFreeVirtualMemory ntdll.dll!NtMapViewOfSection ntdll.dll!NtOpenFile ntdll.dll!NtOpenKey ntdll.dll!NtOpenProcessToken ntdll.dll!NtQueryAttributesFile Show More ntdll.dll!NtQueryDebugFilterState ntdll.dll!NtQueryInformationProcess ntdll.dll!NtQueryInformationToken ntdll.dll!NtQuerySystemInformationEx ntdll.dll!NtQueryValueKey ntdll.dll!NtQueryVirtualMemory ntdll.dll!NtQueryVolumeInformationFile ntdll.dll!NtReadFile ntdll.dll!NtSetEvent ntdll.dll!NtSetInformationFile ntdll.dll!NtSetInformationProcess ntdll.dll!NtSetInformationVirtualMemory ntdll.dll!NtSetInformationWorkerFactory ntdll.dll!NtTestAlert ntdll.dll!NtTraceControl ntdll.dll!NtUnmapViewOfSection ntdll.dll!NtWaitForSingleObject ntdll.dll!NtWriteFile
Process Manipulation Evasion	NtUnmapViewOfSection
Process Shell Execute	CreateProcess
Service Control	OpenSCManager OpenService
Network Winsock2	WSAStartup
Network Winsock	accept bind closesocket connect freeaddrinfo getaddrinfo getpeername getsockname recv send Show More setsockopt socket
Encryption Used	CryptAcquireContext
User Data Access	GetUserName

Shell Command Execution

i

Shell Command Execution

This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.

C:\WINDOWS\SysWOW64\rundll32.exe C:\WINDOWS\system32\rundll32.exe c:\users\user\downloads\cde11f7d08536e148b8c70182cb66a389200f9d8_0000015368.,LiQMAxHB

C:\WINDOWS\SysWOW64\rundll32.exe C:\WINDOWS\system32\rundll32.exe c:\users\user\downloads\76ff31a1625519f9cfe7e950abfb80412f4c2918_0000012816.,LiQMAxHB

C:\WINDOWS\SysWOW64\rundll32.exe C:\WINDOWS\system32\rundll32.exe c:\users\user\downloads\bb4f803c2dc0c75657c6683bf4b53d3bede9e3c6_0000103840.,LiQMAxHB

C:\WINDOWS\SysWOW64\rundll32.exe C:\WINDOWS\system32\rundll32.exe c:\users\user\downloads\0624e96b1303911965f4857b146f75d2965a0fe2_0000012816.,LiQMAxHB

C:\WINDOWS\SysWOW64\rundll32.exe C:\WINDOWS\system32\rundll32.exe c:\users\user\downloads\0ca767ac8acb598cdedd6ad711234ab74f68389c_0000104352.,LiQMAxHB

Show More

C:\WINDOWS\SysWOW64\rundll32.exe C:\WINDOWS\system32\rundll32.exe c:\users\user\downloads\649e71c6405a5f4ba101c7cd50f336492d8438b3_0000012816.,LiQMAxHB

C:\WINDOWS\SysWOW64\rundll32.exe C:\WINDOWS\system32\rundll32.exe c:\users\user\downloads\57e9c9c3b26315504cddbcb43f9d54722505ec4d_0000091664.,LiQMAxHB

C:\WINDOWS\SysWOW64\rundll32.exe C:\WINDOWS\system32\rundll32.exe c:\users\user\downloads\9ca5c68665f67646d361349af0b48332e69b28a4_0000015368.,LiQMAxHB