Analysis Overview
SHA256
0266c4f7b91706ffe49860da8553039739b9f51f9c7c5db5fe0421ec7b0d29da
Threat Level: Known bad
The file 96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe was found to be: Known bad.
Malicious Activity Summary
Malware Dropper & Backdoor - Berbew
Berbew family
Checks computer location settings
Executes dropped EXE
Drops file in System32 directory
Drops file in Windows directory
Enumerates physical storage devices
Program crash
Unsigned PE
Suspicious behavior: EnumeratesProcesses
Suspicious use of SetWindowsHookEx
Suspicious use of WriteProcessMemory
MITRE ATT&CK
Enterprise Matrix V15
Analysis: static1
Detonation Overview
Reported
2024-06-03 01:37
Signatures
Berbew family
Malware Dropper & Backdoor - Berbew
| Description | Indicator | Process | Target |
| N/A | N/A | N/A | N/A |
Unsigned PE
| Description | Indicator | Process | Target |
| N/A | N/A | N/A | N/A |
Analysis: behavioral1
Detonation Overview
Submitted
2024-06-03 01:37
Reported
2024-06-03 01:40
Platform
win7-20231129-en
Max time kernel
122s
Max time network
123s
Command Line
Signatures
Malware Dropper & Backdoor - Berbew
| Description | Indicator | Process | Target |
| N/A | N/A | N/A | N/A |
Executes dropped EXE
| Description | Indicator | Process | Target |
| N/A | N/A | C:\windows\EVANDQ.exe | N/A |
Drops file in Windows directory
| Description | Indicator | Process | Target |
| File created | C:\windows\EVANDQ.exe | C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe | N/A |
| File opened for modification | C:\windows\EVANDQ.exe | C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe | N/A |
| File created | C:\windows\EVANDQ.exe.bat | C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe | N/A |
Enumerates physical storage devices
Suspicious behavior: EnumeratesProcesses
| Description | Indicator | Process | Target |
| N/A | N/A | C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe | N/A |
| N/A | N/A | C:\windows\EVANDQ.exe | N/A |
Suspicious use of SetWindowsHookEx
| Description | Indicator | Process | Target |
| N/A | N/A | C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe | N/A |
| N/A | N/A | C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe | N/A |
| N/A | N/A | C:\windows\EVANDQ.exe | N/A |
| N/A | N/A | C:\windows\EVANDQ.exe | N/A |
Suspicious use of WriteProcessMemory
| Description | Indicator | Process | Target |
| PID 3040 wrote to memory of 2704 | N/A | C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe | C:\Windows\SysWOW64\cmd.exe |
| PID 3040 wrote to memory of 2704 | N/A | C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe | C:\Windows\SysWOW64\cmd.exe |
| PID 3040 wrote to memory of 2704 | N/A | C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe | C:\Windows\SysWOW64\cmd.exe |
| PID 3040 wrote to memory of 2704 | N/A | C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe | C:\Windows\SysWOW64\cmd.exe |
| PID 2704 wrote to memory of 2920 | N/A | C:\Windows\SysWOW64\cmd.exe | C:\windows\EVANDQ.exe |
| PID 2704 wrote to memory of 2920 | N/A | C:\Windows\SysWOW64\cmd.exe | C:\windows\EVANDQ.exe |
| PID 2704 wrote to memory of 2920 | N/A | C:\Windows\SysWOW64\cmd.exe | C:\windows\EVANDQ.exe |
| PID 2704 wrote to memory of 2920 | N/A | C:\Windows\SysWOW64\cmd.exe | C:\windows\EVANDQ.exe |
Processes
C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe"
C:\Windows\SysWOW64\cmd.exe
cmd /c ""C:\windows\EVANDQ.exe.bat" "
C:\windows\EVANDQ.exe
C:\windows\EVANDQ.exe
Network
Files
memory/3040-0-0x0000000000400000-0x0000000000439000-memory.dmp
C:\Windows\EVANDQ.exe.bat
| MD5 | 10c1897335851441b16d39416d3e0ccb |
| SHA1 | 6015f3e72babbff6920a3b3a6632a6d7cd7c61b8 |
| SHA256 | 48a4248150dedd887b393d0149f924fd58baa4a31af6be82658c87dbef30887c |
| SHA512 | e88a8bf2b9ed5b40bfd1ca63ec75fbaf0504fabc97a14e6a42812ecddec0ae4fcb883221b519b4751caf9ce8afacdbfdff3807117d7e9431118bcffce51a11d6 |
memory/3040-12-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\EVANDQ.exe
| MD5 | ebc5287b72fb94265441a13d2370a457 |
| SHA1 | 085b752d9ce655f1715fa5ad7b57e5c2d60295ab |
| SHA256 | 10a1bae87a197657789f3f42f50b2266f98a29358123265bb6ee9592f3e66ebc |
| SHA512 | b1cc900c52b68376100c8bec1567ec289887286c68b8528194b1868633accdfce4a918b454534e943711abf2028bb29a28b4d85263369630d02847567987a06f |
memory/2704-15-0x0000000000130000-0x0000000000169000-memory.dmp
memory/2704-16-0x0000000000130000-0x0000000000169000-memory.dmp
memory/2920-18-0x0000000000400000-0x0000000000439000-memory.dmp
memory/2920-19-0x0000000000400000-0x0000000000439000-memory.dmp
Analysis: behavioral2
Detonation Overview
Submitted
2024-06-03 01:37
Reported
2024-06-03 01:40
Platform
win10v2004-20240426-en
Max time kernel
150s
Max time network
123s
Command Line
Signatures
Malware Dropper & Backdoor - Berbew
| Description | Indicator | Process | Target |
| N/A | N/A | N/A | N/A |
| N/A | N/A | N/A | N/A |
| N/A | N/A | N/A | N/A |
| N/A | N/A | N/A | N/A |
| N/A | N/A | N/A | N/A |
| N/A | N/A | N/A | N/A |
| N/A | N/A | N/A | N/A |
| N/A | N/A | N/A | N/A |
| N/A | N/A | N/A | N/A |
| N/A | N/A | N/A | N/A |
| N/A | N/A | N/A | N/A |
| N/A | N/A | N/A | N/A |
| N/A | N/A | N/A | N/A |
| N/A | N/A | N/A | N/A |
| N/A | N/A | N/A | N/A |
| N/A | N/A | N/A | N/A |
| N/A | N/A | N/A | N/A |
| N/A | N/A | N/A | N/A |
Checks computer location settings
| Description | Indicator | Process | Target |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\PVJ.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\SIB.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\DJA.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\PZRVST.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\RGQ.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\FWZ.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\KHLEL.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\VHUFI.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\IDOIN.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\ZKRX.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\TGAUBAS.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\OJQ.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\LAMA.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\CJSFFQI.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\EGOCSDJ.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\ZCV.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\RIYADD.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\WTRURLR.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\ZNHJC.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\FWXZ.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\RWCG.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\OSWI.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\YGFQEUD.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\RNIUPI.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\QMH.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\QGVL.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\LZPPKN.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\ORFXJ.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\IXZULZB.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\EWIBKIL.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\MJUS.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\AGG.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\YIKE.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\BGTILM.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\PSLZM.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\JBJ.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\AQI.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\BYTOF.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\TTSUM.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\AFX.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\SBGR.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\DPFZL.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\QNCTP.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\RFGU.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\ANYM.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\GMLAXRB.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\OXNEV.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\JVY.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\UEAO.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\ESV.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\OBWUX.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\OIA.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\PJDYEZ.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\HDL.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\VTIIPK.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\BYR.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\AUY.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\YXNK.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\system\FMLL.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\RBYSFMR.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\NIMZFAS.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\SRJGLH.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation | C:\windows\SysWOW64\OMWFRC.exe | N/A |
Executes dropped EXE
Drops file in System32 directory
| Description | Indicator | Process | Target |
| File opened for modification | C:\windows\SysWOW64\EJQWJ.exe | C:\windows\system\YII.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\OIA.exe | C:\windows\system\RCC.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\TGAUBAS.exe | C:\windows\system\RIYADD.exe | N/A |
| File created | C:\windows\SysWOW64\WWXX.exe.bat | C:\windows\SysWOW64\CBS.exe | N/A |
| File created | C:\windows\SysWOW64\NYLVFJE.exe.bat | C:\windows\YIKE.exe | N/A |
| File created | C:\windows\SysWOW64\MQE.exe | C:\windows\SysWOW64\TTSUM.exe | N/A |
| File created | C:\windows\SysWOW64\OSWI.exe | C:\windows\ZCV.exe | N/A |
| File created | C:\windows\SysWOW64\BGTILM.exe | C:\windows\system\CIA.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\QOYY.exe | C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe | N/A |
| File created | C:\windows\SysWOW64\YXHBFI.exe.bat | C:\windows\system\QHGKH.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\DPFZL.exe | C:\windows\system\RWCG.exe | N/A |
| File created | C:\windows\SysWOW64\EXMNRPT.exe.bat | C:\windows\AHGFE.exe | N/A |
| File created | C:\windows\SysWOW64\MVCUE.exe | C:\windows\XPW.exe | N/A |
| File created | C:\windows\SysWOW64\DJZ.exe.bat | C:\windows\QGVL.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\UEAO.exe | C:\windows\system\TBWKTOE.exe | N/A |
| File created | C:\windows\SysWOW64\UEAO.exe.bat | C:\windows\system\TBWKTOE.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\KNSZJGD.exe | C:\windows\system\FMLL.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\WYRR.exe | C:\windows\XJGWXO.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\OUICT.exe | C:\windows\SysWOW64\OJH.exe | N/A |
| File created | C:\windows\SysWOW64\UXVSE.exe.bat | C:\windows\system\OXNEV.exe | N/A |
| File created | C:\windows\SysWOW64\UEAO.exe | C:\windows\system\TBWKTOE.exe | N/A |
| File created | C:\windows\SysWOW64\RBYCXYC.exe.bat | C:\windows\ADZATNN.exe | N/A |
| File created | C:\windows\SysWOW64\ELDX.exe.bat | C:\windows\SysWOW64\KYY.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\FRHGVC.exe | C:\windows\RGQ.exe | N/A |
| File created | C:\windows\SysWOW64\OSWI.exe.bat | C:\windows\ZCV.exe | N/A |
| File created | C:\windows\SysWOW64\OUICT.exe.bat | C:\windows\SysWOW64\OJH.exe | N/A |
| File created | C:\windows\SysWOW64\TTSUM.exe.bat | C:\windows\SysWOW64\YXNK.exe | N/A |
| File created | C:\windows\SysWOW64\AGG.exe.bat | C:\windows\system\LQTBZU.exe | N/A |
| File created | C:\windows\SysWOW64\LBIL.exe.bat | C:\windows\SysWOW64\DJZ.exe | N/A |
| File created | C:\windows\SysWOW64\MMY.exe | C:\windows\SysWOW64\MJUS.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\BYTOF.exe | C:\windows\ESV.exe | N/A |
| File created | C:\windows\SysWOW64\AGG.exe | C:\windows\system\LQTBZU.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\YXNK.exe | C:\windows\WIUIE.exe | N/A |
| File created | C:\windows\SysWOW64\ZNHJC.exe.bat | C:\windows\SSI.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\CVAIS.exe | C:\windows\IIV.exe | N/A |
| File created | C:\windows\SysWOW64\RAUQZR.exe.bat | C:\windows\WEPH.exe | N/A |
| File created | C:\windows\SysWOW64\OMWFRC.exe.bat | C:\windows\SysWOW64\WMUSOFC.exe | N/A |
| File created | C:\windows\SysWOW64\ROSHHHH.exe | C:\windows\BYR.exe | N/A |
| File created | C:\windows\SysWOW64\UFAEVWT.exe | C:\windows\system\NPZEOA.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\PSNUT.exe | C:\windows\APDIADM.exe | N/A |
| File created | C:\windows\SysWOW64\KYY.exe.bat | C:\windows\PKTEKU.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\UXVSE.exe | C:\windows\system\OXNEV.exe | N/A |
| File created | C:\windows\SysWOW64\IPWTM.exe.bat | C:\windows\system\RKLBWXX.exe | N/A |
| File created | C:\windows\SysWOW64\CBS.exe.bat | C:\windows\system\KAQIGS.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\SRJGLH.exe | C:\windows\SysWOW64\BGTILM.exe | N/A |
| File created | C:\windows\SysWOW64\GNP.exe | C:\windows\GIXYUUH.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\WERFL.exe | C:\windows\SysWOW64\WYRR.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\ZHGIK.exe | C:\windows\SysWOW64\LBIL.exe | N/A |
| File created | C:\windows\SysWOW64\UXVSE.exe | C:\windows\system\OXNEV.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\HKFSRRF.exe | C:\windows\VHUFI.exe | N/A |
| File created | C:\windows\SysWOW64\QOYY.exe.bat | C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\YXHBFI.exe | C:\windows\system\QHGKH.exe | N/A |
| File created | C:\windows\SysWOW64\WMUSOFC.exe | C:\windows\SysWOW64\EJQWJ.exe | N/A |
| File created | C:\windows\SysWOW64\OIA.exe | C:\windows\system\RCC.exe | N/A |
| File created | C:\windows\SysWOW64\GNP.exe.bat | C:\windows\GIXYUUH.exe | N/A |
| File opened for modification | C:\windows\SysWOW64\ERSKZCA.exe | C:\windows\system\YRKXQ.exe | N/A |
| File created | C:\windows\SysWOW64\BYTOF.exe | C:\windows\ESV.exe | N/A |
| File created | C:\windows\SysWOW64\FYD.exe.bat | C:\windows\SysWOW64\UFAEVWT.exe | N/A |
| File created | C:\windows\SysWOW64\OLYDLQ.exe.bat | C:\windows\NIMZFAS.exe | N/A |
| File created | C:\windows\SysWOW64\LBIL.exe | C:\windows\SysWOW64\DJZ.exe | N/A |
| File created | C:\windows\SysWOW64\MQE.exe.bat | C:\windows\SysWOW64\TTSUM.exe | N/A |
| File created | C:\windows\SysWOW64\OIR.exe.bat | C:\windows\SysWOW64\ZNHJC.exe | N/A |
| File created | C:\windows\SysWOW64\UFAEVWT.exe.bat | C:\windows\system\NPZEOA.exe | N/A |
| File created | C:\windows\SysWOW64\JVY.exe | C:\windows\SysWOW64\RAUQZR.exe | N/A |
Drops file in Windows directory
| Description | Indicator | Process | Target |
| File opened for modification | C:\windows\MYIPXG.exe | C:\windows\system\CYGCU.exe | N/A |
| File opened for modification | C:\windows\system\FFRO.exe | C:\windows\AVVPEKJ.exe | N/A |
| File created | C:\windows\system\OJUDB.exe.bat | C:\windows\SysWOW64\PZRVST.exe | N/A |
| File created | C:\windows\system\QHGKH.exe | C:\windows\SysWOW64\HKTPR.exe | N/A |
| File opened for modification | C:\windows\system\QHGKH.exe | C:\windows\SysWOW64\HKTPR.exe | N/A |
| File created | C:\windows\AKGRMX.exe.bat | C:\windows\SysWOW64\PSLZM.exe | N/A |
| File opened for modification | C:\windows\system\PETTZVX.exe | C:\windows\HRH.exe | N/A |
| File created | C:\windows\system\PNKD.exe.bat | C:\windows\system\WVUT.exe | N/A |
| File created | C:\windows\system\CIA.exe | C:\windows\TIYI.exe | N/A |
| File created | C:\windows\KWTKS.exe | C:\windows\MYIPXG.exe | N/A |
| File created | C:\windows\YNXVMCF.exe.bat | C:\windows\system\IPJDF.exe | N/A |
| File created | C:\windows\HRWIPXB.exe.bat | C:\windows\ZYNPBT.exe | N/A |
| File created | C:\windows\system\KAQIGS.exe | C:\windows\KVDCVUL.exe | N/A |
| File opened for modification | C:\windows\YIKE.exe | C:\windows\SIC.exe | N/A |
| File opened for modification | C:\windows\system\OJUDB.exe | C:\windows\SysWOW64\PZRVST.exe | N/A |
| File created | C:\windows\system\YRKXQ.exe.bat | C:\windows\system\WTRURLR.exe | N/A |
| File opened for modification | C:\windows\SIC.exe | C:\windows\SysWOW64\OSWI.exe | N/A |
| File opened for modification | C:\windows\system\SBGR.exe | C:\windows\KWTKS.exe | N/A |
| File created | C:\windows\system\BMXB.exe | C:\windows\SysWOW64\ROSHHHH.exe | N/A |
| File created | C:\windows\system\BSSHELB.exe | C:\windows\system\OHOJZU.exe | N/A |
| File opened for modification | C:\windows\system\EGOCSDJ.exe | C:\windows\AQI.exe | N/A |
| File created | C:\windows\system\EGOCSDJ.exe.bat | C:\windows\AQI.exe | N/A |
| File opened for modification | C:\windows\VHUFI.exe | C:\windows\GMLAXRB.exe | N/A |
| File opened for modification | C:\windows\GQU.exe | C:\windows\SysWOW64\RVLBI.exe | N/A |
| File opened for modification | C:\windows\KYJNF.exe | C:\windows\GQU.exe | N/A |
| File opened for modification | C:\windows\SSI.exe | C:\windows\WUC.exe | N/A |
| File created | C:\windows\system\WVUT.exe.bat | C:\windows\system\PETTZVX.exe | N/A |
| File opened for modification | C:\windows\ZVH.exe | C:\windows\SysWOW64\OIA.exe | N/A |
| File created | C:\windows\system\FMLL.exe | C:\windows\SysWOW64\DPFZL.exe | N/A |
| File created | C:\windows\RBYSFMR.exe.bat | C:\windows\SysWOW64\HDL.exe | N/A |
| File created | C:\windows\SSI.exe | C:\windows\WUC.exe | N/A |
| File opened for modification | C:\windows\ZYNPBT.exe | C:\windows\EQESU.exe | N/A |
| File created | C:\windows\LIORRKI.exe | C:\windows\SysWOW64\ZQTZJ.exe | N/A |
| File created | C:\windows\WUC.exe | C:\windows\PZFZ.exe | N/A |
| File created | C:\windows\system\XOD.exe | C:\windows\ILTCE.exe | N/A |
| File opened for modification | C:\windows\XPW.exe | C:\windows\LZPPKN.exe | N/A |
| File opened for modification | C:\windows\system\RCC.exe | C:\windows\SysWOW64\OMWFRC.exe | N/A |
| File created | C:\windows\ADZATNN.exe.bat | C:\windows\system\FFRO.exe | N/A |
| File created | C:\windows\system\ECSVBX.exe.bat | C:\windows\system\AUY.exe | N/A |
| File opened for modification | C:\windows\NOGA.exe | C:\windows\FWXZ.exe | N/A |
| File created | C:\windows\system\CIA.exe.bat | C:\windows\TIYI.exe | N/A |
| File created | C:\windows\ZVH.exe.bat | C:\windows\SysWOW64\OIA.exe | N/A |
| File created | C:\windows\system\RWCG.exe.bat | C:\windows\SysWOW64\RBYCXYC.exe | N/A |
| File created | C:\windows\system\ESWN.exe | C:\windows\system\ZSPZWV.exe | N/A |
| File created | C:\windows\GCRZH.exe.bat | C:\windows\RHINOCA.exe | N/A |
| File opened for modification | C:\windows\system\THTKFX.exe | C:\windows\SysWOW64\ERSKZCA.exe | N/A |
| File created | C:\windows\system\GDJJJ.exe.bat | C:\windows\SysWOW64\MQE.exe | N/A |
| File opened for modification | C:\windows\system\MEG.exe | C:\windows\SysWOW64\MMY.exe | N/A |
| File opened for modification | C:\windows\ORFXJ.exe | C:\windows\SysWOW64\UEAO.exe | N/A |
| File opened for modification | C:\windows\EWIBKIL.exe | C:\windows\SysWOW64\AGG.exe | N/A |
| File created | C:\windows\VWQ.exe | C:\windows\system\PVJ.exe | N/A |
| File created | C:\windows\LKNJCT.exe.bat | C:\windows\system\XPCJ.exe | N/A |
| File opened for modification | C:\windows\system\PNKD.exe | C:\windows\system\WVUT.exe | N/A |
| File opened for modification | C:\windows\NIMZFAS.exe | C:\windows\SysWOW64\GNP.exe | N/A |
| File created | C:\windows\system\OXNEV.exe.bat | C:\windows\FZIKOT.exe | N/A |
| File opened for modification | C:\windows\HRWIPXB.exe | C:\windows\ZYNPBT.exe | N/A |
| File opened for modification | C:\windows\VTIIPK.exe | C:\windows\SysWOW64\NYLVFJE.exe | N/A |
| File created | C:\windows\VHUFI.exe | C:\windows\GMLAXRB.exe | N/A |
| File created | C:\windows\ESV.exe.bat | C:\windows\AKGRMX.exe | N/A |
| File opened for modification | C:\windows\system\TBWKTOE.exe | C:\windows\SysWOW64\BYTOF.exe | N/A |
| File opened for modification | C:\windows\ILTCE.exe | C:\windows\system\ZKRX.exe | N/A |
| File created | C:\windows\AKHGEGS.exe.bat | C:\windows\system\QNCTP.exe | N/A |
| File created | C:\windows\system\BZAVPEG.exe | C:\windows\SysWOW64\TGAUBAS.exe | N/A |
| File opened for modification | C:\windows\WUC.exe | C:\windows\PZFZ.exe | N/A |
Enumerates physical storage devices
Program crash
Suspicious behavior: EnumeratesProcesses
Suspicious use of SetWindowsHookEx
Suspicious use of WriteProcessMemory
Processes
C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe"
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\QOYY.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 2696 -ip 2696
C:\windows\SysWOW64\QOYY.exe
C:\windows\system32\QOYY.exe
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2696 -s 1292
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\SBDIBR.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 500 -p 1168 -ip 1168
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1168 -s 1336
C:\windows\system\SBDIBR.exe
C:\windows\system\SBDIBR.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\KEVS.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 924 -ip 924
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 924 -s 1336
C:\windows\system\KEVS.exe
C:\windows\system\KEVS.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\HKTPR.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 596 -p 1056 -ip 1056
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1056 -s 1328
C:\windows\SysWOW64\HKTPR.exe
C:\windows\system32\HKTPR.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\QHGKH.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 1836 -ip 1836
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1836 -s 960
C:\windows\system\QHGKH.exe
C:\windows\system\QHGKH.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\YXHBFI.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 2124 -ip 2124
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2124 -s 1328
C:\windows\SysWOW64\YXHBFI.exe
C:\windows\system32\YXHBFI.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\ZTLFT.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 4188 -ip 4188
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4188 -s 1324
C:\windows\ZTLFT.exe
C:\windows\ZTLFT.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\CJSFFQI.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 4984 -ip 4984
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4984 -s 1236
C:\windows\CJSFFQI.exe
C:\windows\CJSFFQI.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\MJUS.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 424 -p 3172 -ip 3172
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3172 -s 1004
C:\windows\SysWOW64\MJUS.exe
C:\windows\system32\MJUS.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\MMY.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 3892 -ip 3892
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3892 -s 1308
C:\windows\SysWOW64\MMY.exe
C:\windows\system32\MMY.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\MEG.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 1512 -ip 1512
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1512 -s 1248
C:\windows\system\MEG.exe
C:\windows\system\MEG.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\PSLZM.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 3208 -ip 3208
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3208 -s 1328
C:\windows\SysWOW64\PSLZM.exe
C:\windows\system32\PSLZM.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\AKGRMX.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 3572 -ip 3572
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3572 -s 1324
C:\windows\AKGRMX.exe
C:\windows\AKGRMX.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\ESV.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 840 -ip 840
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 840 -s 1324
C:\windows\ESV.exe
C:\windows\ESV.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\BYTOF.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 4772 -ip 4772
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4772 -s 1004
C:\windows\SysWOW64\BYTOF.exe
C:\windows\system32\BYTOF.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\TBWKTOE.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 532 -ip 532
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 532 -s 960
C:\windows\system\TBWKTOE.exe
C:\windows\system\TBWKTOE.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\UEAO.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 1612 -ip 1612
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1612 -s 1328
C:\windows\SysWOW64\UEAO.exe
C:\windows\system32\UEAO.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\ORFXJ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 1484 -ip 1484
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1484 -s 996
C:\windows\ORFXJ.exe
C:\windows\ORFXJ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\HURT.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 3652 -ip 3652
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3652 -s 988
C:\windows\system\HURT.exe
C:\windows\system\HURT.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\ANYM.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 1836 -ip 1836
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1836 -s 960
C:\windows\SysWOW64\ANYM.exe
C:\windows\system32\ANYM.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\IIV.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 4708 -ip 4708
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4708 -s 1324
C:\windows\IIV.exe
C:\windows\IIV.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\CVAIS.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 652 -p 2212 -ip 2212
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1004
C:\windows\SysWOW64\CVAIS.exe
C:\windows\system32\CVAIS.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\BLHKV.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 692 -p 1684 -ip 1684
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1684 -s 1300
C:\windows\SysWOW64\BLHKV.exe
C:\windows\system32\BLHKV.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\DJA.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 3916 -ip 3916
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3916 -s 1324
C:\windows\DJA.exe
C:\windows\DJA.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\HRH.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 700 -p 3008 -ip 3008
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3008 -s 1324
C:\windows\HRH.exe
C:\windows\HRH.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\PETTZVX.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 640 -p 4348 -ip 4348
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4348 -s 1004
C:\windows\system\PETTZVX.exe
C:\windows\system\PETTZVX.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\WVUT.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 1196 -ip 1196
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1196 -s 1260
C:\windows\system\WVUT.exe
C:\windows\system\WVUT.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\PNKD.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 3624 -ip 3624
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3624 -s 976
C:\windows\system\PNKD.exe
C:\windows\system\PNKD.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\CYGCU.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 4376 -ip 4376
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4376 -s 1336
C:\windows\system\CYGCU.exe
C:\windows\system\CYGCU.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\MYIPXG.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 688 -p 2876 -ip 2876
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2876 -s 1008
C:\windows\MYIPXG.exe
C:\windows\MYIPXG.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\KWTKS.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 1992 -ip 1992
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1992 -s 1000
C:\windows\KWTKS.exe
C:\windows\KWTKS.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\SBGR.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 412 -p 4916 -ip 4916
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4916 -s 988
C:\windows\system\SBGR.exe
C:\windows\system\SBGR.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\AHGFE.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 596 -p 932 -ip 932
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 932 -s 876
C:\windows\AHGFE.exe
C:\windows\AHGFE.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\EXMNRPT.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 3580 -ip 3580
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3580 -s 1328
C:\windows\SysWOW64\EXMNRPT.exe
C:\windows\system32\EXMNRPT.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\ZKRX.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 3828 -ip 3828
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3828 -s 1308
C:\windows\system\ZKRX.exe
C:\windows\system\ZKRX.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\ILTCE.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 2652 -ip 2652
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2652 -s 1324
C:\windows\ILTCE.exe
C:\windows\ILTCE.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\XOD.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 3012 -ip 3012
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3012 -s 1316
C:\windows\system\XOD.exe
C:\windows\system\XOD.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\POFTTFN.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 4352 -ip 4352
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4352 -s 1316
C:\windows\system\POFTTFN.exe
C:\windows\system\POFTTFN.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\JBJ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 652 -p 4368 -ip 4368
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4368 -s 1328
C:\windows\SysWOW64\JBJ.exe
C:\windows\system32\JBJ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\LZPPKN.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 3036 -ip 3036
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3036 -s 1260
C:\windows\LZPPKN.exe
C:\windows\LZPPKN.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\XPW.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 2628 -ip 2628
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2628 -s 880
C:\windows\XPW.exe
C:\windows\XPW.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\MVCUE.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 668 -ip 668
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 668 -s 1328
C:\windows\SysWOW64\MVCUE.exe
C:\windows\system32\MVCUE.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\SIB.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 1048 -ip 1048
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1048 -s 1336
C:\windows\system\SIB.exe
C:\windows\system\SIB.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\YII.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 644 -p 4284 -ip 4284
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4284 -s 876
C:\windows\system\YII.exe
C:\windows\system\YII.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\EJQWJ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 704 -p 1192 -ip 1192
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1192 -s 1328
C:\windows\SysWOW64\EJQWJ.exe
C:\windows\system32\EJQWJ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\WMUSOFC.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 3400 -ip 3400
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3400 -s 960
C:\windows\SysWOW64\WMUSOFC.exe
C:\windows\system32\WMUSOFC.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\OMWFRC.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 1248 -ip 1248
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1248 -s 988
C:\windows\SysWOW64\OMWFRC.exe
C:\windows\system32\OMWFRC.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\RCC.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 700 -p 1580 -ip 1580
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1580 -s 1336
C:\windows\system\RCC.exe
C:\windows\system\RCC.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\OIA.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 4644 -ip 4644
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4644 -s 1312
C:\windows\SysWOW64\OIA.exe
C:\windows\system32\OIA.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\ZVH.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 496 -p 628 -ip 628
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 628 -s 1324
C:\windows\ZVH.exe
C:\windows\ZVH.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\BYR.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 2076 -ip 2076
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2076 -s 1228
C:\windows\BYR.exe
C:\windows\BYR.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\ROSHHHH.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 696 -p 532 -ip 532
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 532 -s 1328
C:\windows\SysWOW64\ROSHHHH.exe
C:\windows\system32\ROSHHHH.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\BMXB.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 1048 -ip 1048
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1048 -s 988
C:\windows\system\BMXB.exe
C:\windows\system\BMXB.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\PJDYEZ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 692 -p 3840 -ip 3840
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3840 -s 1328
C:\windows\SysWOW64\PJDYEZ.exe
C:\windows\system32\PJDYEZ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\QMH.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 428 -p 856 -ip 856
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 856 -s 960
C:\windows\system\QMH.exe
C:\windows\system\QMH.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\DXQ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 1672 -ip 1672
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1672 -s 1336
C:\windows\system\DXQ.exe
C:\windows\system\DXQ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\AVVPEKJ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 676 -p 1616 -ip 1616
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1616 -s 1296
C:\windows\AVVPEKJ.exe
C:\windows\AVVPEKJ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\FFRO.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 4144 -ip 4144
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4144 -s 1336
C:\windows\system\FFRO.exe
C:\windows\system\FFRO.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\ADZATNN.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 596 -p 4704 -ip 4704
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4704 -s 960
C:\windows\ADZATNN.exe
C:\windows\ADZATNN.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\RBYCXYC.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 2248 -ip 2248
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2248 -s 1328
C:\windows\SysWOW64\RBYCXYC.exe
C:\windows\system32\RBYCXYC.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\RWCG.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 2076 -ip 2076
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2076 -s 1312
C:\windows\system\RWCG.exe
C:\windows\system\RWCG.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\DPFZL.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 672 -p 4660 -ip 4660
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4660 -s 960
C:\windows\SysWOW64\DPFZL.exe
C:\windows\system32\DPFZL.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\FMLL.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 1196 -ip 1196
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1196 -s 1228
C:\windows\system\FMLL.exe
C:\windows\system\FMLL.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\KNSZJGD.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 2324 -ip 2324
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2324 -s 1308
C:\windows\SysWOW64\KNSZJGD.exe
C:\windows\system32\KNSZJGD.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\ULGT.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 4000 -ip 4000
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4000 -s 1316
C:\windows\ULGT.exe
C:\windows\ULGT.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\YBMBDH.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 712 -p 4192 -ip 4192
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4192 -s 1336
C:\windows\system\YBMBDH.exe
C:\windows\system\YBMBDH.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\YGFQEUD.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 5084 -ip 5084
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 5084 -s 988
C:\windows\system\YGFQEUD.exe
C:\windows\system\YGFQEUD.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\OBWUX.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4144 -ip 4144
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4144 -s 1260
C:\windows\SysWOW64\OBWUX.exe
C:\windows\system32\OBWUX.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\OHOJZU.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 1528 -ip 1528
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1528 -s 1312
C:\windows\system\OHOJZU.exe
C:\windows\system\OHOJZU.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\BSSHELB.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 2032 -ip 2032
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2032 -s 1304
C:\windows\system\BSSHELB.exe
C:\windows\system\BSSHELB.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\QNCTP.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 4956 -ip 4956
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4956 -s 1336
C:\windows\system\QNCTP.exe
C:\windows\system\QNCTP.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\AKHGEGS.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 2900 -ip 2900
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2900 -s 1236
C:\windows\AKHGEGS.exe
C:\windows\AKHGEGS.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\AQI.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 4456 -ip 4456
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4456 -s 1324
C:\windows\AQI.exe
C:\windows\AQI.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\EGOCSDJ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 1060 -ip 1060
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1060 -s 1276
C:\windows\system\EGOCSDJ.exe
C:\windows\system\EGOCSDJ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\PZRVST.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 4672 -ip 4672
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4672 -s 1208
C:\windows\SysWOW64\PZRVST.exe
C:\windows\system32\PZRVST.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\OJUDB.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 4076 -ip 4076
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4076 -s 1336
C:\windows\system\OJUDB.exe
C:\windows\system\OJUDB.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\IXZULZB.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 1916 -ip 1916
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1916 -s 960
C:\windows\system\IXZULZB.exe
C:\windows\system\IXZULZB.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\RKLBWXX.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 3676 -ip 3676
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3676 -s 1280
C:\windows\system\RKLBWXX.exe
C:\windows\system\RKLBWXX.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\IPWTM.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 872 -ip 872
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 872 -s 872
C:\windows\SysWOW64\IPWTM.exe
C:\windows\system32\IPWTM.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\IDOIN.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 720 -p 1428 -ip 1428
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1428 -s 1236
C:\windows\IDOIN.exe
C:\windows\IDOIN.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\RIYADD.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 720 -p 2696 -ip 2696
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2696 -s 1336
C:\windows\system\RIYADD.exe
C:\windows\system\RIYADD.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\TGAUBAS.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 612 -p 2820 -ip 2820
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2820 -s 988
C:\windows\SysWOW64\TGAUBAS.exe
C:\windows\system32\TGAUBAS.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\BZAVPEG.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 4764 -ip 4764
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 1336
C:\windows\system\BZAVPEG.exe
C:\windows\system\BZAVPEG.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\BEAKR.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 376 -ip 376
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 376 -s 960
C:\windows\BEAKR.exe
C:\windows\BEAKR.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\IPJDF.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 5000 -ip 5000
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 5000 -s 1336
C:\windows\system\IPJDF.exe
C:\windows\system\IPJDF.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\YNXVMCF.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 696 -p 1780 -ip 1780
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1780 -s 1268
C:\windows\YNXVMCF.exe
C:\windows\YNXVMCF.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\LQTBZU.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 1512 -ip 1512
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1512 -s 988
C:\windows\system\LQTBZU.exe
C:\windows\system\LQTBZU.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\AGG.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 4052 -ip 4052
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4052 -s 1260
C:\windows\SysWOW64\AGG.exe
C:\windows\system32\AGG.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\EWIBKIL.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 2752 -ip 2752
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2752 -s 1324
C:\windows\EWIBKIL.exe
C:\windows\EWIBKIL.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\DHLJTO.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4256 -ip 4256
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4256 -s 960
C:\windows\DHLJTO.exe
C:\windows\DHLJTO.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\SCUV.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 732 -p 3908 -ip 3908
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3908 -s 1248
C:\windows\system\SCUV.exe
C:\windows\system\SCUV.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\NPZEOA.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 3960 -ip 3960
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3960 -s 1248
C:\windows\system\NPZEOA.exe
C:\windows\system\NPZEOA.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\UFAEVWT.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 500 -p 4032 -ip 4032
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4032 -s 988
C:\windows\SysWOW64\UFAEVWT.exe
C:\windows\system32\UFAEVWT.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\FYD.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 2244 -ip 2244
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2244 -s 960
C:\windows\SysWOW64\FYD.exe
C:\windows\system32\FYD.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\PVJ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 1884 -ip 1884
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1884 -s 1316
C:\windows\system\PVJ.exe
C:\windows\system\PVJ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\VWQ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 728 -p 3212 -ip 3212
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3212 -s 1324
C:\windows\VWQ.exe
C:\windows\VWQ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\VBRLVT.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 1456 -ip 1456
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1456 -s 1336
C:\windows\system\VBRLVT.exe
C:\windows\system\VBRLVT.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\OJQ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 680 -p 1196 -ip 1196
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1196 -s 1336
C:\windows\system\OJQ.exe
C:\windows\system\OJQ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\FSSHPU.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 1000 -ip 1000
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1000 -s 1324
C:\windows\FSSHPU.exe
C:\windows\FSSHPU.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\AFX.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 3928 -ip 3928
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3928 -s 1336
C:\windows\system\AFX.exe
C:\windows\system\AFX.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\NQGPOE.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 4168 -ip 4168
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4168 -s 960
C:\windows\NQGPOE.exe
C:\windows\NQGPOE.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\HDL.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 720 -p 924 -ip 924
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 924 -s 1328
C:\windows\SysWOW64\HDL.exe
C:\windows\system32\HDL.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\RBYSFMR.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 500 -p 3368 -ip 3368
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3368 -s 1288
C:\windows\RBYSFMR.exe
C:\windows\RBYSFMR.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\RGQ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 3544 -ip 3544
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3544 -s 1004
C:\windows\RGQ.exe
C:\windows\RGQ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\FRHGVC.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 3624 -ip 3624
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3624 -s 1268
C:\windows\SysWOW64\FRHGVC.exe
C:\windows\system32\FRHGVC.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\QKCQVKX.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 688 -p 1172 -ip 1172
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1172 -s 988
C:\windows\system\QKCQVKX.exe
C:\windows\system\QKCQVKX.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\RFGU.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 500 -p 508 -ip 508
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 508 -s 1324
C:\windows\SysWOW64\RFGU.exe
C:\windows\system32\RFGU.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\GIXYUUH.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 3400 -ip 3400
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3400 -s 1300
C:\windows\GIXYUUH.exe
C:\windows\GIXYUUH.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\GNP.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 3344 -ip 3344
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3344 -s 1300
C:\windows\SysWOW64\GNP.exe
C:\windows\system32\GNP.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\NIMZFAS.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 3932 -ip 3932
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3932 -s 1324
C:\windows\NIMZFAS.exe
C:\windows\NIMZFAS.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\OLYDLQ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 4644 -ip 4644
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4644 -s 1296
C:\windows\SysWOW64\OLYDLQ.exe
C:\windows\system32\OLYDLQ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\FMEAXH.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 2072 -ip 2072
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2072 -s 1004
C:\windows\FMEAXH.exe
C:\windows\FMEAXH.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\VJLLJ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 2976 -ip 2976
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2976 -s 1272
C:\windows\system\VJLLJ.exe
C:\windows\system\VJLLJ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\WEPH.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 720 -p 4004 -ip 4004
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4004 -s 960
C:\windows\WEPH.exe
C:\windows\WEPH.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\RAUQZR.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 2248 -ip 2248
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2248 -s 960
C:\windows\SysWOW64\RAUQZR.exe
C:\windows\system32\RAUQZR.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\JVY.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 764 -ip 764
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 764 -s 1328
C:\windows\SysWOW64\JVY.exe
C:\windows\system32\JVY.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\ZYHYPB.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 3056 -ip 3056
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3056 -s 1324
C:\windows\SysWOW64\ZYHYPB.exe
C:\windows\system32\ZYHYPB.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\XJGWXO.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 2792 -ip 2792
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2792 -s 1324
C:\windows\XJGWXO.exe
C:\windows\XJGWXO.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\WYRR.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 688 -p 2204 -ip 2204
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2204 -s 1328
C:\windows\SysWOW64\WYRR.exe
C:\windows\system32\WYRR.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\WERFL.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 708 -p 2176 -ip 2176
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2176 -s 1328
C:\windows\SysWOW64\WERFL.exe
C:\windows\system32\WERFL.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\AUY.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 672 -p 4580 -ip 4580
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4580 -s 1336
C:\windows\system\AUY.exe
C:\windows\system\AUY.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\ECSVBX.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 500 -p 3796 -ip 3796
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3796 -s 1328
C:\windows\system\ECSVBX.exe
C:\windows\system\ECSVBX.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\RNIUPI.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 844 -ip 844
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 844 -s 960
C:\windows\system\RNIUPI.exe
C:\windows\system\RNIUPI.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\EQESU.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 4496 -ip 4496
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4496 -s 1236
C:\windows\EQESU.exe
C:\windows\EQESU.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\ZYNPBT.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 4840 -ip 4840
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4840 -s 1324
C:\windows\ZYNPBT.exe
C:\windows\ZYNPBT.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\HRWIPXB.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 2248 -ip 2248
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2248 -s 1300
C:\windows\HRWIPXB.exe
C:\windows\HRWIPXB.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\FBYYYD.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 708 -p 764 -ip 764
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 764 -s 1324
C:\windows\FBYYYD.exe
C:\windows\FBYYYD.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\APDIADM.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 672 -p 4420 -ip 4420
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4420 -s 1324
C:\windows\APDIADM.exe
C:\windows\APDIADM.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\PSNUT.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 3424 -ip 3424
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3424 -s 988
C:\windows\SysWOW64\PSNUT.exe
C:\windows\system32\PSNUT.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\ZSPZWV.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 4796 -ip 4796
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4796 -s 1336
C:\windows\system\ZSPZWV.exe
C:\windows\system\ZSPZWV.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\ESWN.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 2204 -ip 2204
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2204 -s 1004
C:\windows\system\ESWN.exe
C:\windows\system\ESWN.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\QGVL.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 544 -ip 544
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 544 -s 1324
C:\windows\QGVL.exe
C:\windows\QGVL.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\DJZ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 428 -p 864 -ip 864
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 864 -s 1308
C:\windows\SysWOW64\DJZ.exe
C:\windows\system32\DJZ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\LBIL.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 3092 -ip 3092
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3092 -s 1260
C:\windows\SysWOW64\LBIL.exe
C:\windows\system32\LBIL.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\ZHGIK.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 672 -p 3584 -ip 3584
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3584 -s 1328
C:\windows\SysWOW64\ZHGIK.exe
C:\windows\system32\ZHGIK.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\RHINOCA.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 712 -p 3476 -ip 3476
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3476 -s 1324
C:\windows\RHINOCA.exe
C:\windows\RHINOCA.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\GCRZH.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 1324 -ip 1324
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1324 -s 1324
C:\windows\GCRZH.exe
C:\windows\GCRZH.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\PKTEKU.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 1852 -ip 1852
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1852 -s 1292
C:\windows\PKTEKU.exe
C:\windows\PKTEKU.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\KYY.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 3360 -ip 3360
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3360 -s 1328
C:\windows\SysWOW64\KYY.exe
C:\windows\system32\KYY.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\ELDX.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 4508 -ip 4508
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4508 -s 1328
C:\windows\SysWOW64\ELDX.exe
C:\windows\system32\ELDX.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\WTRURLR.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 4348 -ip 4348
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4348 -s 960
C:\windows\system\WTRURLR.exe
C:\windows\system\WTRURLR.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\YRKXQ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 1428 -ip 1428
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1428 -s 1272
C:\windows\system\YRKXQ.exe
C:\windows\system\YRKXQ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\ERSKZCA.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 1672 -ip 1672
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1672 -s 1328
C:\windows\SysWOW64\ERSKZCA.exe
C:\windows\system32\ERSKZCA.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\THTKFX.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 4912 -ip 4912
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4912 -s 1336
C:\windows\system\THTKFX.exe
C:\windows\system\THTKFX.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\KVDCVUL.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 676 -p 3676 -ip 3676
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3676 -s 1324
C:\windows\KVDCVUL.exe
C:\windows\KVDCVUL.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\KAQIGS.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 644 -p 4532 -ip 4532
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4532 -s 976
C:\windows\system\KAQIGS.exe
C:\windows\system\KAQIGS.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\CBS.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 3740 -ip 3740
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3740 -s 1264
C:\windows\SysWOW64\CBS.exe
C:\windows\system32\CBS.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\WWXX.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 2404 -ip 2404
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2404 -s 1264
C:\windows\SysWOW64\WWXX.exe
C:\windows\system32\WWXX.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\FWZ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 700 -p 4936 -ip 4936
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4936 -s 1308
C:\windows\SysWOW64\FWZ.exe
C:\windows\system32\FWZ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\XJJ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 852 -ip 852
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 852 -s 1328
C:\windows\SysWOW64\XJJ.exe
C:\windows\system32\XJJ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\XPCJ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 692 -p 740 -ip 740
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 740 -s 988
C:\windows\system\XPCJ.exe
C:\windows\system\XPCJ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\LKNJCT.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 1904 -ip 1904
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1904 -s 960
C:\windows\LKNJCT.exe
C:\windows\LKNJCT.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\ZQTZJ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 1824 -ip 1824
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1824 -s 1328
C:\windows\SysWOW64\ZQTZJ.exe
C:\windows\system32\ZQTZJ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\LIORRKI.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 2824 -ip 2824
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2824 -s 1268
C:\windows\LIORRKI.exe
C:\windows\LIORRKI.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\WQDZ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 672 -p 4512 -ip 4512
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4512 -s 976
C:\windows\SysWOW64\WQDZ.exe
C:\windows\system32\WQDZ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\PUG.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 3580 -ip 3580
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3580 -s 1300
C:\windows\PUG.exe
C:\windows\PUG.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\KHLEL.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 5092 -ip 5092
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 5092 -s 872
C:\windows\KHLEL.exe
C:\windows\KHLEL.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\ZCV.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 692 -p 4532 -ip 4532
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4532 -s 960
C:\windows\ZCV.exe
C:\windows\ZCV.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\OSWI.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 2960 -ip 2960
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2960 -s 1328
C:\windows\SysWOW64\OSWI.exe
C:\windows\system32\OSWI.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\SIC.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 496 -p 4496 -ip 4496
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4496 -s 1324
C:\windows\SIC.exe
C:\windows\SIC.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\YIKE.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 1580 -ip 1580
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1580 -s 1324
C:\windows\YIKE.exe
C:\windows\YIKE.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\NYLVFJE.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 1844 -ip 1844
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1844 -s 1328
C:\windows\SysWOW64\NYLVFJE.exe
C:\windows\system32\NYLVFJE.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\VTIIPK.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 4168 -ip 4168
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4168 -s 1236
C:\windows\VTIIPK.exe
C:\windows\VTIIPK.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\GMLAXRB.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 3456 -ip 3456
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3456 -s 960
C:\windows\GMLAXRB.exe
C:\windows\GMLAXRB.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\VHUFI.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 656 -p 1632 -ip 1632
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1632 -s 1324
C:\windows\VHUFI.exe
C:\windows\VHUFI.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\HKFSRRF.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 496 -p 2304 -ip 2304
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 988
C:\windows\SysWOW64\HKFSRRF.exe
C:\windows\system32\HKFSRRF.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\LAMA.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 656 -p 1948 -ip 1948
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 1336
C:\windows\system\LAMA.exe
C:\windows\system\LAMA.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\RVLBI.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 4048 -ip 4048
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4048 -s 1328
C:\windows\SysWOW64\RVLBI.exe
C:\windows\system32\RVLBI.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\GQU.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 3048 -ip 3048
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3048 -s 1004
C:\windows\GQU.exe
C:\windows\GQU.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\KYJNF.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 644 -p 2388 -ip 2388
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2388 -s 1324
C:\windows\KYJNF.exe
C:\windows\KYJNF.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\OJH.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 708 -p 4256 -ip 4256
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4256 -s 1328
C:\windows\SysWOW64\OJH.exe
C:\windows\system32\OJH.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\OUICT.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 3884 -ip 3884
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3884 -s 1292
C:\windows\SysWOW64\OUICT.exe
C:\windows\system32\OUICT.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\WIUIE.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 496 -p 2792 -ip 2792
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2792 -s 1304
C:\windows\WIUIE.exe
C:\windows\WIUIE.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\YXNK.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 536 -ip 536
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 536 -s 1300
C:\windows\SysWOW64\YXNK.exe
C:\windows\system32\YXNK.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\TTSUM.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 688 -p 4092 -ip 4092
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4092 -s 960
C:\windows\SysWOW64\TTSUM.exe
C:\windows\system32\TTSUM.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\MQE.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 708 -p 4240 -ip 4240
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4240 -s 1264
C:\windows\SysWOW64\MQE.exe
C:\windows\system32\MQE.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\GDJJJ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 500 -p 2976 -ip 2976
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2976 -s 1336
C:\windows\system\GDJJJ.exe
C:\windows\system\GDJJJ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\FZIKOT.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 3728 -ip 3728
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3728 -s 1288
C:\windows\FZIKOT.exe
C:\windows\FZIKOT.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\OXNEV.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 720 -p 2280 -ip 2280
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2280 -s 960
C:\windows\system\OXNEV.exe
C:\windows\system\OXNEV.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\UXVSE.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 692 -p 4504 -ip 4504
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4504 -s 1328
C:\windows\SysWOW64\UXVSE.exe
C:\windows\system32\UXVSE.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\TIYI.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 3740 -ip 3740
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3740 -s 1236
C:\windows\TIYI.exe
C:\windows\TIYI.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\CIA.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 3020 -ip 3020
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3020 -s 1336
C:\windows\system\CIA.exe
C:\windows\system\CIA.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\BGTILM.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 3612 -ip 3612
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3612 -s 1328
C:\windows\SysWOW64\BGTILM.exe
C:\windows\system32\BGTILM.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\SRJGLH.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 4552 -ip 4552
C:\windows\SysWOW64\SRJGLH.exe
C:\windows\system32\SRJGLH.exe
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 1328
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\NBAE.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 4976 -ip 4976
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4976 -s 1304
C:\windows\NBAE.exe
C:\windows\NBAE.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\PZFZ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 4360 -ip 4360
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4360 -s 1296
C:\windows\PZFZ.exe
C:\windows\PZFZ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\WUC.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 2872 -ip 2872
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2872 -s 1304
C:\windows\WUC.exe
C:\windows\WUC.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\SSI.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 3888 -ip 3888
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3888 -s 1324
C:\windows\SSI.exe
C:\windows\SSI.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\ZNHJC.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 2628 -ip 2628
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2628 -s 1328
C:\windows\SysWOW64\ZNHJC.exe
C:\windows\system32\ZNHJC.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\OIR.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 2672 -ip 2672
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2672 -s 960
C:\windows\SysWOW64\OIR.exe
C:\windows\system32\OIR.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\XQTS.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 4088 -ip 4088
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4088 -s 960
C:\windows\SysWOW64\XQTS.exe
C:\windows\system32\XQTS.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\FWXZ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 644 -p 4480 -ip 4480
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 4480 -s 1324
C:\windows\FWXZ.exe
C:\windows\FWXZ.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\NOGA.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 2200 -ip 2200
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2200 -s 1008
C:\windows\NOGA.exe
C:\windows\NOGA.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system\AMG.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 2044 -ip 2044
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 2044 -s 1248
C:\windows\system\AMG.exe
C:\windows\system\AMG.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\cmd.exe /c ""C:\windows\system32\XSMJ.exe.bat" "
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 500 -p 3380 -ip 3380
C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -u -p 3380 -s 1308
C:\windows\SysWOW64\XSMJ.exe
C:\windows\system32\XSMJ.exe
Network
| Country | Destination | Domain | Proto |
| US | 8.8.8.8:53 | 104.219.191.52.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 8.8.8.8.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 0.205.248.87.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 133.32.126.40.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 95.221.229.192.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 241.150.49.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 58.55.71.13.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 157.123.68.40.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 171.39.242.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 99.58.20.217.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 100.58.20.217.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 21.236.111.52.in-addr.arpa | udp |
Files
memory/2696-0-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\SysWOW64\QOYY.exe.bat
| MD5 | 809823198f91a609b2c937bb33468120 |
| SHA1 | 45d015da0c039f4bfcca42f0ba6b5648646e0c06 |
| SHA256 | 334f3c9633800cea7ae06423d2f70d2aa9bf0b2f8e26ae5e5513a99d12d038b2 |
| SHA512 | 1f46f209a6a1ce000a73ee7123d04834efcd01defc6a9ad949b4a534ffcadaceee1c135c90c9ad2cf1938b29023a3cc2c2a18e9ca156043426c816899b912fe1 |
C:\Windows\SysWOW64\QOYY.exe
| MD5 | 50e14bca97a39eb504e087c2af966c8a |
| SHA1 | 652f8ac585084959daba5a8b9ec7f07a238a2094 |
| SHA256 | bea68fb41c8ebc36e14a5bbc60d031492ba533e2eebcd30d1982b722f05af589 |
| SHA512 | 1e2841e19d54bb050dd8bb0ca3e679f92e4d8cf45776cd646f98c3325bd0d3edce6f18cc4ebc1b40801d81921d7893e69deb0e327a31d9c0549db452d8a170af |
memory/1168-11-0x0000000000400000-0x0000000000439000-memory.dmp
C:\Windows\System\SBDIBR.exe
| MD5 | c5bd5ffea08b79022dde4200090f8889 |
| SHA1 | f9a56a5f734a2e9b60f7fb906eeb194a7f9a797e |
| SHA256 | c4654545ccc5dc9a559c768c972cc1c37d2ca9ca7d6e9d0970ce3c5ad18670bb |
| SHA512 | 3b1cd29e72942c09273c8101dc1b9ae689f5bfd26020b82ef892ffa239d4a0522327341493e426ed3dd69030b8f9e467668d9b341e1fedf27c7303ba6b55ecdc |
C:\windows\system\SBDIBR.exe.bat
| MD5 | b61ac35179e882a648952abed69a07cd |
| SHA1 | 496f94f3678dda12f99e554bff245c97451033de |
| SHA256 | 7f54065fde0a8cc15bfcef1ee31e3ee4261562c3c39b109a5e300424d0bd7358 |
| SHA512 | 4f62e65e726f8175f9880603972bc47eb5bf7519afa7b98d8843300e463fcfd03884de8a3cf9b33526ec57915e90701198a46228ef9f9be3112f7b0f5fe6a447 |
memory/924-21-0x0000000000400000-0x0000000000439000-memory.dmp
memory/2696-23-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1168-24-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\system\KEVS.exe.bat
| MD5 | c4f7a1bc0c553066e63f79d32c501da2 |
| SHA1 | accd1092a9b2e48d2e98201bd4bcd3371cf9c9b7 |
| SHA256 | 05c5b5a8c5b862dc96b5585fc81e2e632a159c67e192baf3b19ee58176d8b099 |
| SHA512 | f01af10e6df7fe08eeab0bc0d7bb07d02107db23267b9cf18aee3b1548bf77e123d421932396b26de2519fede56cd0ba08746dff75da35236505c1244e785021 |
C:\Windows\System\KEVS.exe
| MD5 | 6f144d2bf3290d0f4cbe717463c56e9e |
| SHA1 | ecbf8bdd03fa522bbd3baf4360be66571bbf842f |
| SHA256 | d19c7863cbc1e4bba0f643959ddc15c60c78566e02462e9f6f4f57f813910508 |
| SHA512 | a7f2ed556864fb18cb3bbe6b9f5850834f9d655451c86330acf0abc229f28122aa4e9ce4bd993331aa9f0a1fee0b0cffc7fe45f1ad74166e4b69496bffd08ca6 |
memory/1056-35-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\SysWOW64\HKTPR.exe.bat
| MD5 | 9b7720b4495ed5f230b81d1cd643965a |
| SHA1 | 67300b06a66d1ee345ebd4eb35a498b441616cda |
| SHA256 | 2f2722aec87e178df6c93c13d36c1a3edac8255a1745e6c8c8baec090563806e |
| SHA512 | 9b51786559ae4e7f2703e7ce37204c9a1fcb6db746a4bef0bd1a301ec047d4aef93f6f0640bd260b55717277c7cbba7419e1ab60d2549bfda7ca4ec92815ac5d |
memory/1836-46-0x0000000000400000-0x0000000000439000-memory.dmp
memory/924-47-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\SysWOW64\HKTPR.exe
| MD5 | 410a348252663f499a952491f3a76a00 |
| SHA1 | 6b0b5e9812d64fa84c1341f300516c7494d53b23 |
| SHA256 | fd2ab1e87b8b3b9db5f8fef81872283de744bc9d85896b6f0ab7cfa24b7eab14 |
| SHA512 | 872d75bf902e7253f40fc50a2b3cbc224645c4e161bec588fbc31aa5bb778b2c71b6ec8e9ff0645c21298eee7cf01e50a05dff1de6288b5031975d196b120a46 |
C:\windows\system\QHGKH.exe.bat
| MD5 | 1fb506c10fe65245c275d86e9b5ad724 |
| SHA1 | 79799d6a576b660f70c0f5f5fd0db74237f22ccf |
| SHA256 | ea5b21dcd895cf0415bc774c09084daaed733d13bf6230cc90c4271163e247ce |
| SHA512 | 8d304984d391b3253228b259d1f326bb8bf262560eae256f12cc073aa0ca75a770bb85e5e182366a959e4eaf7ad9f11ae39b8520af71576b992d0d8bb6ea0117 |
C:\windows\system\QHGKH.exe
| MD5 | 34a11ba6d9303b13926c10c1facbd71b |
| SHA1 | 4f0d776e918c4781778460afc4f1c6530b91d900 |
| SHA256 | 9c5925e5f6477678ba6aeb87d6fc52d276860ae9de4b4cf3da921dc43dea0924 |
| SHA512 | 03455849b6d37f7b8435c3b1b0ec9c2c445f5794d76c573078b9e728285df99984a971e8a3d9967921d841030c63198807897ab4c989beb2464b3e44a2d96f37 |
memory/2124-58-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1056-59-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1836-66-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\SysWOW64\YXHBFI.exe.bat
| MD5 | bf96b8fd6419425f645b5c16227fdcb6 |
| SHA1 | 208456286c5301e8ee96f8825b66fe825e051b09 |
| SHA256 | 8ba5abc4a0f175de349b5b5284fc68680b21e479a742f58e9a264e67ef012102 |
| SHA512 | afe410888a640c5d19cf841da52cd65bcafb5ea88250ef0da48f8bc8a20709d48014a34d8787464033badd251de2c5a83d504b8fcfa96d427eed2f51d432a09b |
C:\windows\SysWOW64\YXHBFI.exe
| MD5 | 2459d592912d897770bc1194bfca3a42 |
| SHA1 | 66696f79f0776756685a8e55f8810a91fc52bc08 |
| SHA256 | 477eb7e9deb9e68ee16c9841dbda0bc88fcd91125c2a458551fd195a6a22faf8 |
| SHA512 | 54369f77701d8549e519843e16af2d70bc274c5bc71ef03be3ca302fa0e608b751696d48be7705bf97ec70552c24a1226c271cbf2f86d99e79f9aa627b58820f |
memory/4188-71-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\ZTLFT.exe.bat
| MD5 | 1e40b8e715d6105a5372387035af4051 |
| SHA1 | 0522ae1e909f096a8d36de7d91f5906a13218702 |
| SHA256 | dabfda5833a36a4df558910e38d45b94a57782fa64b2bc5f4855017971252dd5 |
| SHA512 | 69ff09a6d0ed4756df55fdcf300fe101700cf13a8590359fe29b9e8b15c6d42160091340a9a7074862a21ce4c3477356879759a1cd4b175e600f1ac5f8a8765b |
memory/2124-83-0x0000000000400000-0x0000000000439000-memory.dmp
memory/4984-82-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\CJSFFQI.exe.bat
| MD5 | ec5e022a04786d8f321ff898264c62ad |
| SHA1 | 46a5606bd9db93fabea80afc53eb824aad3a4ac8 |
| SHA256 | 6c82ef7ffc14a77da7250a1fdc94c30cb8cc7970d0187856616dd54b97b6dc47 |
| SHA512 | ca63a9465a47dd0dab031e59c45fd280d91eec7a47495aa022ce12b3c039a1b521ab7fc3777f9218fd5a2c0cd55633fb7e4a4fa5b46b9639e03db16b26de53c6 |
C:\windows\CJSFFQI.exe
| MD5 | e09e8de932784fff9e9d04c169679f49 |
| SHA1 | 580ff7ce0557860111928e1b1302ef2536a21d3c |
| SHA256 | 7456061670985381fd3e6b3232a7ae912863048e312e2bb13e30128471a7610c |
| SHA512 | f9b1a991021e2fbc461e0f24301f013c4ba9b0c37346ca16ba380a5a1665137aef12c6f033180d8c690bcacd465dc431b1e9d380949e096063cbe44361c4aecb |
memory/3172-94-0x0000000000400000-0x0000000000439000-memory.dmp
memory/4188-95-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\SysWOW64\MJUS.exe.bat
| MD5 | 14a8a7ce06522e19d99782e96d9cf791 |
| SHA1 | 95cdd0f5adb7b06496d65fed7e2a868d67bfedff |
| SHA256 | 9475ff784488878cccfc60f9f974c169cc7fa23f1238d0fe1d30d25e1b0a0156 |
| SHA512 | 5072183d11376f727c06805aad552d4a31d01007ba5b8735f1a0191f909f4317f05741070e70777b2b5829469ff53c5e1c74f6b8aca84d8cafdf00ea43d8ac14 |
C:\windows\SysWOW64\MJUS.exe
| MD5 | 7d2cb5fb694199e0b74a9662cf8f6ec5 |
| SHA1 | dc53a92108967bae43bacd49f581e3063830f052 |
| SHA256 | 04aad73ffe34bdada8552bf09174da2ac4fa3563274dec5e96a7481770c3c79f |
| SHA512 | 8de0c4915b3fbeebac6cd7de2ba2cd1e0651e720973c0f663ebfc425995a9a3655024c7ada7012ea9264d935a84b59c79b1e17e6daf910a109f8ce748bfab32e |
memory/3892-106-0x0000000000400000-0x0000000000439000-memory.dmp
memory/4984-107-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3172-114-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\SysWOW64\MMY.exe.bat
| MD5 | 2a7917da99dfcd92e12354bdc7688693 |
| SHA1 | 2285cdd52f30ea3a1a12a85c564e3aa748e8c753 |
| SHA256 | b17cba9f9f1a44aaf8e2d4b3f0424c532726253fa6f7419731cd09c07fb10669 |
| SHA512 | 8fdab43128980317bd8850befc5f16a00478d908ade493b3b4f311b083020b782f6050f157889ab1a3aab6017f6fe6175231cb041282464a0e8062980508d35f |
C:\Windows\SysWOW64\MMY.exe
| MD5 | 7e37c730b9db217a1afb9b00a9915a03 |
| SHA1 | 74b1b7e6ee9a945058e0a77f323eb12947bdcce3 |
| SHA256 | 61e7f2deaf86f2bf3c348b24eb40a7a4ef179b8b9e571442c336f851a59f54e2 |
| SHA512 | 182192e77f9706e8409f24889349f6e256e0ad85f9efa073fc3700102f0fff006e8df7855f881c556827824211b84af4ff7308aec2e118c68847315df4ffe562 |
memory/1512-119-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\system\MEG.exe.bat
| MD5 | fc265a581085c546c48dd26c359713e8 |
| SHA1 | 83610f42aea951cab8fc6bdd5c1472e94ed53935 |
| SHA256 | 19bfcb019ffc0d4211d4976007efffe8377d6034d57d8fb718cad429fe069ee8 |
| SHA512 | f13200fbe83542283d86478c4bb2dcc70c1c0735a822b115aa3def3289470457a5e4392d7dff806f2b644512e13dc34e3281775de7c3f75e1196d31f5eb05a4c |
memory/3208-129-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3892-131-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\SysWOW64\PSLZM.exe.bat
| MD5 | 3ab46c3f21fde7cbaa80317f60126082 |
| SHA1 | 0092c5f07762c4b41448859634e70335bdab7006 |
| SHA256 | 41035390498b1a4a5f7fc6177a5393e83ead458b84afe74aa370486bf7eaf13f |
| SHA512 | 88a37ad89679059eba95e7020cd936a8a2e2630f9e0dfb1f8f366f3e6d4579985b3ed1f21174aa124b29be43c609888b5b1a2dbc5ebf80a56bfe0537ce7df621 |
C:\Windows\SysWOW64\PSLZM.exe
| MD5 | e5ac211884b1ef962f0cc3011a79850e |
| SHA1 | 4522651b6c3ab943282745168be72038d536cf09 |
| SHA256 | 17d663c044e59cddb057c84121fec13ec061e97def3200a25ee1b7d9019802ec |
| SHA512 | 38066d650828bb1fa1099f0c6d2947f3a5b3289d92152879d22f2acf8801cc7ae4969368bffaa33d658ace25ea06977d0bf8901d00f888ac4f63e5dbe8e5eed8 |
memory/3572-142-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1512-143-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\AKGRMX.exe.bat
| MD5 | f061741ee67766c9704980b4aab1d931 |
| SHA1 | 7e4e5be8806b878b908b341f18e8ce3e412d08f8 |
| SHA256 | 6aebe995cde0785794e8e9d82c11e4d1915054608707eaa647d3902b9218e2cf |
| SHA512 | 6d78158ba4a6ac5ec1100be6f6f2ea70be62f30630404a7ad4da8e96913f766b090a19f69e704d9cefe1826171e4e3d9ac54a950fa3e180ab91aea75c662aeca |
C:\Windows\AKGRMX.exe
| MD5 | aacbedb416b080da4ed03b52345f275a |
| SHA1 | 566a7b7cd44f1820f14077e351e695699f192233 |
| SHA256 | 1cac724762f3cf1f5972189a28ff6b5e5bcd525ba694ca23232d18c0a034d2d3 |
| SHA512 | cf568034ab1e4ea680d7ae65d35ba6137ba655cde74d64911eb5cf3e16ca868f5032fc8dd463867f51d59d3b36f892422fb9a87bbc812d57fa036f930050ab93 |
memory/840-154-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3208-155-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\ESV.exe.bat
| MD5 | 780cf236acd963673a54cfa10dfc12ee |
| SHA1 | 352ad62a283ca96c2c33cdf258c8a722a466926e |
| SHA256 | 24f11a456f9c017378a744857499295a22313ed1bcb2152d786008ec4af15389 |
| SHA512 | 04028f08a64e7d47abb0e3b1252901dc372326f978141e4e1e16e529a476ec26d96c3b182addff63facd18ffaf36786b67ca18cf8ca8b3f0e3ca02764598b53a |
memory/4772-165-0x0000000000400000-0x0000000000439000-memory.dmp
C:\Windows\ESV.exe
| MD5 | bd493881430d519207b7d6825f2d45ce |
| SHA1 | c2032ba51b947c7eca80a380ec79da177dd0da22 |
| SHA256 | 7459850e349833627b0bc80832d19924f839233cf81886776068e77d245990ef |
| SHA512 | df9aa242cfca1b5c3b0ec3f11f89052b0ad291206c9b5e00bc57134bbcb6b884f7a3b540cee7e93e7872ac296c6396d419982684f237a98d50dba084239eba4b |
memory/3572-167-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\SysWOW64\BYTOF.exe.bat
| MD5 | fabc53804881a94847d6cf06ab12e18b |
| SHA1 | 3f314b25baef2c3c57f8ee54b98e6f631ebbe688 |
| SHA256 | 0bd9d613b0b006a7e1a7904b1ecf3c6eafb0405d67fbac1bd2994558ba5011e6 |
| SHA512 | 1d4b7eca30a5a4e87a48bf872ef56562cb0911196da9d24f462aaf9bc3bef36f4ad15f7b3c7f010e79df0d53945ecfe7a518e1faf6dc3b6ba821e73d1bccf811 |
memory/532-178-0x0000000000400000-0x0000000000439000-memory.dmp
memory/840-179-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\system\TBWKTOE.exe.bat
| MD5 | ca0f4a8f8d79d5b8d0e8c76e6d83caed |
| SHA1 | ff8bff45163d6a7e751479a7ae4be8630f8774fe |
| SHA256 | 6286ef170223556128d1ab633c0a6f0f5336d09c65a04cccb134cc4b730c47da |
| SHA512 | 5fca40d7c3267a6b7fbfd84144b35f94aee3ff8096a5e459bc57ef049a900941aaacd11f0fbaa9e3be02a13f563e2cbc7faa19398422aa24f88cece89efbbb51 |
C:\windows\system\TBWKTOE.exe
| MD5 | d9f6f36aefd9bbb7662392dea627cfa0 |
| SHA1 | 53c95a420cabe3f5d2ada15b410259ab5a29c55a |
| SHA256 | a0aefeee084e77aaf5bdf4c82c5f84ec979ce802b2137d0ef74efb341aad544b |
| SHA512 | 5a62825fc97e81a755a7cd338b452ef0a2c7b7402e394b757537bfeaae23a67cb3370b93c472127fa344b04a5f312b9a1b831cb1c509fd79fe315ad73cea6492 |
memory/1612-190-0x0000000000400000-0x0000000000439000-memory.dmp
memory/4772-191-0x0000000000400000-0x0000000000439000-memory.dmp
memory/532-198-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\SysWOW64\UEAO.exe.bat
| MD5 | 54792db49b33a435f889178b47ab32e9 |
| SHA1 | 4409924c508eccd51070c3009db012d4ca02f279 |
| SHA256 | 0f87ebc98b6556d05610a153b8e3ee4f010fe721a522b549103e03dbe08da097 |
| SHA512 | 300a5b9e1b3d7388ec055a447df56b0be1f2acb2bc00231485d34d3bbc2446ecc75ef4c61372181e2b8632f2cdd73bca67c95ee99154d4a6ce3b2f3e17eb8a8e |
C:\Windows\SysWOW64\UEAO.exe
| MD5 | 84acbbc45185ef588a8905aa624d9e1f |
| SHA1 | 8a5e03410f9e47095f6392edd1a4d5c07d3c0d71 |
| SHA256 | d501b5be1c2e09360b72bf457ff1c5b5c598e40f7a129f4b6f98a14664f33551 |
| SHA512 | 847343552955e0ff747fcffac03fb13cca989558522eff68c0aa0a9a7297a67073c82ed518f300cf6ffe504841e5b2a0320536ec6488029ec5760d1ffbf9d9ec |
memory/1484-203-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\ORFXJ.exe.bat
| MD5 | b26e7cd36bb91b9637fe9d5cbc25612b |
| SHA1 | 616313837bd1f095bcca620706ac5235ebb88b9e |
| SHA256 | 2219530505a782aa7edf54427570773713031053cff7f7f2813c233fd55ce87a |
| SHA512 | f70e68d7ba08a3e92a80aeb7b75f03609a7a19f3a915880e3ecedfad99149bf2b841ed7b311441626977e2fe04097b47cc1a3564bb385780b467554a07959fa5 |
C:\windows\ORFXJ.exe
| MD5 | 08d11b2a56461633e9133327986ca373 |
| SHA1 | eb5be6cffe3d6742d683ddfa166fe2fe77583237 |
| SHA256 | a0c4bd9eb091409a4a5e7c3d4c82d100f79d3ff2113c0f63d93f32d8749557d9 |
| SHA512 | f0dadfea97a5869a3a2ef0f7d3e8872fd93b88e5fa9c5ab8a09c11ca2d202c4b1adcfe77cdf22fcc9df5fd7cafb83643f93863df558f2ca9f21c0e363ecc6496 |
memory/3652-213-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1612-215-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\system\HURT.exe.bat
| MD5 | 66dbbbb9559ff273e7134558bda872c0 |
| SHA1 | 6c2e0fe01adf7cbbf452c11552a895b96ca4f69c |
| SHA256 | f50f39986726f64acad6e20d65cd8fd6010c573628fef0fd1b327101bfcbbb29 |
| SHA512 | 32327d514ec00c76788e3956ba5d7aeee99610d84e5d091a4ee107c2b80c4c1a5e546f1f19e366725194840fcdbdb65d9fdfc826bbe413099ed7deab4bfcc85d |
memory/1836-225-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1484-227-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\SysWOW64\ANYM.exe.bat
| MD5 | a5967031359f36d9e94fcc21efa228f4 |
| SHA1 | 0b56e8bab0bf594c3015a6bcc66b7c3b86a2b89e |
| SHA256 | 20c4c83774a01e76d4db0d64173039470cd290115d7fccfdde4015afabef4a75 |
| SHA512 | 0bfe382181f14e3c022ed8ded25dd5ade18d798fdca3150307a74fdde9ee5d610978897a19dfc545321f369ab39d57ab6b5867d2c63a933f370a86e4bbf860ed |
memory/4708-238-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\SysWOW64\ANYM.exe
| MD5 | 263497e3dd7e060ce3cf7f796642fc73 |
| SHA1 | ae068f6a105ddf78578ab82074e347195d32dfc8 |
| SHA256 | 1d8d142a0b63e780aed0c0085d333a1875b179ab620636568d12576e963c8d10 |
| SHA512 | ad219ec9099eedae04b16da6588d9aa939257e913bada93ab6252b9b7a47166b6f423db0650c764688fb32eec964793bc497228dd6ef60b9fde796e1b6e0d187 |
memory/3652-239-0x0000000000400000-0x0000000000439000-memory.dmp
C:\windows\IIV.exe
| MD5 | 3bc6b7d903e7211ffd424355e0072eb1 |
| SHA1 | f291c9e4d7f058678ae47cacd2e1a944564b5e0d |
| SHA256 | 7af529f781105bb9348ba6d0297854ff9fbc8383cef3a0bc72adc8298e34a5a1 |
| SHA512 | 94d63cd1c91fc7d7ec2a4a9ab0c73e152bea7d60a77507a4527597539181ef580b9528048d4f9f927dcb0c44555d4b9c375c348506a2601758d3c289f8269f8a |
memory/2212-248-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1836-249-0x0000000000400000-0x0000000000439000-memory.dmp
C:\Windows\SysWOW64\CVAIS.exe
| MD5 | 39e4e0bbbdf6ee66ff29af599dc2dec8 |
| SHA1 | e9b3465703973f57d81df26d3880d094cd4645b8 |
| SHA256 | 5a8dc66582426b401e112ab3dc4800ea6bfa98c7dca17dfc0804a9961e025ec9 |
| SHA512 | b89fd6a060ad9c07c08712f19a3d2ef3abac77ebf93f7167834c8f9d4688c8985a3940b5b2734c351d3a47141376e54c826259d84e85c39881085e4dcc6e6d29 |
C:\windows\SysWOW64\CVAIS.exe.bat
| MD5 | e3b3d402a6a470687a7376690d232dde |
| SHA1 | 871a7f16b0ef1d6308b68834cc6da5687358baf6 |
| SHA256 | da82f1ad3d47f36a286063be84929784518e843a547dcf0fef615c2b9c527f9d |
| SHA512 | c3ae3a30044a9c76fa8e3b535fe1dd4706ef67cdfa8ad16479eeb317cb264d978e97ad7b4daf6719bce52fbe47e0f4eedceba7a3888ac545fb98edb195a8c0ad |
memory/1684-260-0x0000000000400000-0x0000000000439000-memory.dmp
memory/4708-257-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3916-268-0x0000000000400000-0x0000000000439000-memory.dmp
memory/2212-269-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3008-277-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1684-278-0x0000000000400000-0x0000000000439000-memory.dmp
memory/4348-286-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3916-287-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3008-295-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1196-296-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3624-304-0x0000000000400000-0x0000000000439000-memory.dmp
memory/4348-305-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1196-312-0x0000000000400000-0x0000000000439000-memory.dmp
memory/4376-314-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3624-322-0x0000000000400000-0x0000000000439000-memory.dmp
memory/2876-323-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1992-331-0x0000000000400000-0x0000000000439000-memory.dmp
memory/4376-332-0x0000000000400000-0x0000000000439000-memory.dmp
memory/4916-340-0x0000000000400000-0x0000000000439000-memory.dmp
memory/2876-341-0x0000000000400000-0x0000000000439000-memory.dmp
memory/932-349-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1992-350-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3580-358-0x0000000000400000-0x0000000000439000-memory.dmp
memory/4916-359-0x0000000000400000-0x0000000000439000-memory.dmp
memory/932-366-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3828-368-0x0000000000400000-0x0000000000439000-memory.dmp
memory/2652-376-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3580-377-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3012-385-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3828-386-0x0000000000400000-0x0000000000439000-memory.dmp
memory/4352-394-0x0000000000400000-0x0000000000439000-memory.dmp
memory/2652-395-0x0000000000400000-0x0000000000439000-memory.dmp
memory/4368-403-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3012-404-0x0000000000400000-0x0000000000439000-memory.dmp
memory/4352-411-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3036-413-0x0000000000400000-0x0000000000439000-memory.dmp
memory/4368-421-0x0000000000400000-0x0000000000439000-memory.dmp
memory/2628-422-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3036-429-0x0000000000400000-0x0000000000439000-memory.dmp
memory/668-431-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1048-439-0x0000000000400000-0x0000000000439000-memory.dmp
memory/2628-440-0x0000000000400000-0x0000000000439000-memory.dmp
memory/4284-448-0x0000000000400000-0x0000000000439000-memory.dmp
memory/668-449-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1192-457-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1048-458-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3400-466-0x0000000000400000-0x0000000000439000-memory.dmp
memory/4284-467-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1248-475-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1192-476-0x0000000000400000-0x0000000000439000-memory.dmp
memory/3400-484-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1580-485-0x0000000000400000-0x0000000000439000-memory.dmp
memory/1248-492-0x0000000000400000-0x0000000000439000-memory.dmp
memory/4644-494-0x0000000000400000-0x0000000000439000-memory.dmp