Malware Analysis Report

2024-10-16 04:07

Sample ID 240603-b12b5aef7x
Target 96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe
SHA256 0266c4f7b91706ffe49860da8553039739b9f51f9c7c5db5fe0421ec7b0d29da
Tags
backdoor trojan dropper berbew
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V15

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

0266c4f7b91706ffe49860da8553039739b9f51f9c7c5db5fe0421ec7b0d29da

Threat Level: Known bad

The file 96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe was found to be: Known bad.

Malicious Activity Summary

backdoor trojan dropper berbew

Malware Dropper & Backdoor - Berbew

Berbew family

Checks computer location settings

Executes dropped EXE

Drops file in System32 directory

Drops file in Windows directory

Enumerates physical storage devices

Program crash

Unsigned PE

Suspicious behavior: EnumeratesProcesses

Suspicious use of SetWindowsHookEx

Suspicious use of WriteProcessMemory

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2024-06-03 01:37

Signatures

Berbew family

berbew

Malware Dropper & Backdoor - Berbew

backdoor trojan dropper
Description Indicator Process Target
N/A N/A N/A N/A

Unsigned PE

Description Indicator Process Target
N/A N/A N/A N/A

Analysis: behavioral1

Detonation Overview

Submitted

2024-06-03 01:37

Reported

2024-06-03 01:40

Platform

win7-20231129-en

Max time kernel

122s

Max time network

123s

Command Line

"C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe"

Signatures

Malware Dropper & Backdoor - Berbew

backdoor trojan dropper
Description Indicator Process Target
N/A N/A N/A N/A

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\windows\EVANDQ.exe N/A

Drops file in Windows directory

Description Indicator Process Target
File created C:\windows\EVANDQ.exe C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe N/A
File opened for modification C:\windows\EVANDQ.exe C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe N/A
File created C:\windows\EVANDQ.exe.bat C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe N/A

Enumerates physical storage devices

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe N/A
N/A N/A C:\windows\EVANDQ.exe N/A

Processes

C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe

"C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe"

C:\Windows\SysWOW64\cmd.exe

cmd /c ""C:\windows\EVANDQ.exe.bat" "

C:\windows\EVANDQ.exe

C:\windows\EVANDQ.exe

Network

N/A

Files

memory/3040-0-0x0000000000400000-0x0000000000439000-memory.dmp

C:\Windows\EVANDQ.exe.bat

MD5 10c1897335851441b16d39416d3e0ccb
SHA1 6015f3e72babbff6920a3b3a6632a6d7cd7c61b8
SHA256 48a4248150dedd887b393d0149f924fd58baa4a31af6be82658c87dbef30887c
SHA512 e88a8bf2b9ed5b40bfd1ca63ec75fbaf0504fabc97a14e6a42812ecddec0ae4fcb883221b519b4751caf9ce8afacdbfdff3807117d7e9431118bcffce51a11d6

memory/3040-12-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\EVANDQ.exe

MD5 ebc5287b72fb94265441a13d2370a457
SHA1 085b752d9ce655f1715fa5ad7b57e5c2d60295ab
SHA256 10a1bae87a197657789f3f42f50b2266f98a29358123265bb6ee9592f3e66ebc
SHA512 b1cc900c52b68376100c8bec1567ec289887286c68b8528194b1868633accdfce4a918b454534e943711abf2028bb29a28b4d85263369630d02847567987a06f

memory/2704-15-0x0000000000130000-0x0000000000169000-memory.dmp

memory/2704-16-0x0000000000130000-0x0000000000169000-memory.dmp

memory/2920-18-0x0000000000400000-0x0000000000439000-memory.dmp

memory/2920-19-0x0000000000400000-0x0000000000439000-memory.dmp

Analysis: behavioral2

Detonation Overview

Submitted

2024-06-03 01:37

Reported

2024-06-03 01:40

Platform

win10v2004-20240426-en

Max time kernel

150s

Max time network

123s

Command Line

"C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe"

Signatures

Malware Dropper & Backdoor - Berbew

backdoor trojan dropper
Description Indicator Process Target
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A

Checks computer location settings

Description Indicator Process Target
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\PVJ.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\SIB.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\DJA.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\PZRVST.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\RGQ.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\FWZ.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\KHLEL.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\VHUFI.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\IDOIN.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\ZKRX.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\TGAUBAS.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\OJQ.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\LAMA.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\CJSFFQI.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\EGOCSDJ.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\ZCV.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\RIYADD.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\WTRURLR.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\ZNHJC.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\FWXZ.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\RWCG.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\OSWI.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\YGFQEUD.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\RNIUPI.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\QMH.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\QGVL.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\LZPPKN.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\ORFXJ.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\IXZULZB.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\EWIBKIL.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\MJUS.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\AGG.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\YIKE.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\BGTILM.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\PSLZM.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\JBJ.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\AQI.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\BYTOF.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\TTSUM.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\AFX.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\SBGR.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\DPFZL.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\QNCTP.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\RFGU.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\ANYM.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\GMLAXRB.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\OXNEV.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\JVY.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\UEAO.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\ESV.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\OBWUX.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\OIA.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\PJDYEZ.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\HDL.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\VTIIPK.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\BYR.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\AUY.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\YXNK.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\system\FMLL.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\RBYSFMR.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\NIMZFAS.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\SRJGLH.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-711569230-3659488422-571408806-1000\Control Panel\International\Geo\Nation C:\windows\SysWOW64\OMWFRC.exe N/A

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\windows\SysWOW64\QOYY.exe N/A
N/A N/A C:\windows\system\SBDIBR.exe N/A
N/A N/A C:\windows\system\KEVS.exe N/A
N/A N/A C:\windows\SysWOW64\HKTPR.exe N/A
N/A N/A C:\windows\system\QHGKH.exe N/A
N/A N/A C:\windows\SysWOW64\YXHBFI.exe N/A
N/A N/A C:\windows\ZTLFT.exe N/A
N/A N/A C:\windows\CJSFFQI.exe N/A
N/A N/A C:\windows\SysWOW64\MJUS.exe N/A
N/A N/A C:\windows\SysWOW64\MMY.exe N/A
N/A N/A C:\windows\system\MEG.exe N/A
N/A N/A C:\windows\SysWOW64\PSLZM.exe N/A
N/A N/A C:\windows\AKGRMX.exe N/A
N/A N/A C:\windows\ESV.exe N/A
N/A N/A C:\windows\SysWOW64\BYTOF.exe N/A
N/A N/A C:\windows\system\TBWKTOE.exe N/A
N/A N/A C:\windows\SysWOW64\UEAO.exe N/A
N/A N/A C:\windows\ORFXJ.exe N/A
N/A N/A C:\windows\system\HURT.exe N/A
N/A N/A C:\windows\SysWOW64\ANYM.exe N/A
N/A N/A C:\windows\IIV.exe N/A
N/A N/A C:\windows\SysWOW64\CVAIS.exe N/A
N/A N/A C:\windows\SysWOW64\BLHKV.exe N/A
N/A N/A C:\windows\DJA.exe N/A
N/A N/A C:\windows\HRH.exe N/A
N/A N/A C:\windows\system\PETTZVX.exe N/A
N/A N/A C:\windows\system\WVUT.exe N/A
N/A N/A C:\windows\system\PNKD.exe N/A
N/A N/A C:\windows\system\CYGCU.exe N/A
N/A N/A C:\windows\MYIPXG.exe N/A
N/A N/A C:\windows\KWTKS.exe N/A
N/A N/A C:\windows\system\SBGR.exe N/A
N/A N/A C:\windows\AHGFE.exe N/A
N/A N/A C:\windows\SysWOW64\EXMNRPT.exe N/A
N/A N/A C:\windows\system\ZKRX.exe N/A
N/A N/A C:\windows\ILTCE.exe N/A
N/A N/A C:\windows\system\XOD.exe N/A
N/A N/A C:\windows\system\POFTTFN.exe N/A
N/A N/A C:\windows\SysWOW64\JBJ.exe N/A
N/A N/A C:\windows\LZPPKN.exe N/A
N/A N/A C:\windows\XPW.exe N/A
N/A N/A C:\windows\SysWOW64\MVCUE.exe N/A
N/A N/A C:\windows\system\SIB.exe N/A
N/A N/A C:\windows\system\YII.exe N/A
N/A N/A C:\windows\SysWOW64\EJQWJ.exe N/A
N/A N/A C:\windows\SysWOW64\WMUSOFC.exe N/A
N/A N/A C:\windows\SysWOW64\OMWFRC.exe N/A
N/A N/A C:\windows\system\RCC.exe N/A
N/A N/A C:\windows\SysWOW64\OIA.exe N/A
N/A N/A C:\windows\ZVH.exe N/A
N/A N/A C:\windows\BYR.exe N/A
N/A N/A C:\windows\SysWOW64\ROSHHHH.exe N/A
N/A N/A C:\windows\system\BMXB.exe N/A
N/A N/A C:\windows\SysWOW64\PJDYEZ.exe N/A
N/A N/A C:\windows\system\QMH.exe N/A
N/A N/A C:\windows\system\DXQ.exe N/A
N/A N/A C:\windows\AVVPEKJ.exe N/A
N/A N/A C:\windows\system\FFRO.exe N/A
N/A N/A C:\windows\ADZATNN.exe N/A
N/A N/A C:\windows\SysWOW64\RBYCXYC.exe N/A
N/A N/A C:\windows\system\RWCG.exe N/A
N/A N/A C:\windows\SysWOW64\DPFZL.exe N/A
N/A N/A C:\windows\system\FMLL.exe N/A
N/A N/A C:\windows\SysWOW64\KNSZJGD.exe N/A

Drops file in System32 directory

Description Indicator Process Target
File opened for modification C:\windows\SysWOW64\EJQWJ.exe C:\windows\system\YII.exe N/A
File opened for modification C:\windows\SysWOW64\OIA.exe C:\windows\system\RCC.exe N/A
File opened for modification C:\windows\SysWOW64\TGAUBAS.exe C:\windows\system\RIYADD.exe N/A
File created C:\windows\SysWOW64\WWXX.exe.bat C:\windows\SysWOW64\CBS.exe N/A
File created C:\windows\SysWOW64\NYLVFJE.exe.bat C:\windows\YIKE.exe N/A
File created C:\windows\SysWOW64\MQE.exe C:\windows\SysWOW64\TTSUM.exe N/A
File created C:\windows\SysWOW64\OSWI.exe C:\windows\ZCV.exe N/A
File created C:\windows\SysWOW64\BGTILM.exe C:\windows\system\CIA.exe N/A
File opened for modification C:\windows\SysWOW64\QOYY.exe C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe N/A
File created C:\windows\SysWOW64\YXHBFI.exe.bat C:\windows\system\QHGKH.exe N/A
File opened for modification C:\windows\SysWOW64\DPFZL.exe C:\windows\system\RWCG.exe N/A
File created C:\windows\SysWOW64\EXMNRPT.exe.bat C:\windows\AHGFE.exe N/A
File created C:\windows\SysWOW64\MVCUE.exe C:\windows\XPW.exe N/A
File created C:\windows\SysWOW64\DJZ.exe.bat C:\windows\QGVL.exe N/A
File opened for modification C:\windows\SysWOW64\UEAO.exe C:\windows\system\TBWKTOE.exe N/A
File created C:\windows\SysWOW64\UEAO.exe.bat C:\windows\system\TBWKTOE.exe N/A
File opened for modification C:\windows\SysWOW64\KNSZJGD.exe C:\windows\system\FMLL.exe N/A
File opened for modification C:\windows\SysWOW64\WYRR.exe C:\windows\XJGWXO.exe N/A
File opened for modification C:\windows\SysWOW64\OUICT.exe C:\windows\SysWOW64\OJH.exe N/A
File created C:\windows\SysWOW64\UXVSE.exe.bat C:\windows\system\OXNEV.exe N/A
File created C:\windows\SysWOW64\UEAO.exe C:\windows\system\TBWKTOE.exe N/A
File created C:\windows\SysWOW64\RBYCXYC.exe.bat C:\windows\ADZATNN.exe N/A
File created C:\windows\SysWOW64\ELDX.exe.bat C:\windows\SysWOW64\KYY.exe N/A
File opened for modification C:\windows\SysWOW64\FRHGVC.exe C:\windows\RGQ.exe N/A
File created C:\windows\SysWOW64\OSWI.exe.bat C:\windows\ZCV.exe N/A
File created C:\windows\SysWOW64\OUICT.exe.bat C:\windows\SysWOW64\OJH.exe N/A
File created C:\windows\SysWOW64\TTSUM.exe.bat C:\windows\SysWOW64\YXNK.exe N/A
File created C:\windows\SysWOW64\AGG.exe.bat C:\windows\system\LQTBZU.exe N/A
File created C:\windows\SysWOW64\LBIL.exe.bat C:\windows\SysWOW64\DJZ.exe N/A
File created C:\windows\SysWOW64\MMY.exe C:\windows\SysWOW64\MJUS.exe N/A
File opened for modification C:\windows\SysWOW64\BYTOF.exe C:\windows\ESV.exe N/A
File created C:\windows\SysWOW64\AGG.exe C:\windows\system\LQTBZU.exe N/A
File opened for modification C:\windows\SysWOW64\YXNK.exe C:\windows\WIUIE.exe N/A
File created C:\windows\SysWOW64\ZNHJC.exe.bat C:\windows\SSI.exe N/A
File opened for modification C:\windows\SysWOW64\CVAIS.exe C:\windows\IIV.exe N/A
File created C:\windows\SysWOW64\RAUQZR.exe.bat C:\windows\WEPH.exe N/A
File created C:\windows\SysWOW64\OMWFRC.exe.bat C:\windows\SysWOW64\WMUSOFC.exe N/A
File created C:\windows\SysWOW64\ROSHHHH.exe C:\windows\BYR.exe N/A
File created C:\windows\SysWOW64\UFAEVWT.exe C:\windows\system\NPZEOA.exe N/A
File opened for modification C:\windows\SysWOW64\PSNUT.exe C:\windows\APDIADM.exe N/A
File created C:\windows\SysWOW64\KYY.exe.bat C:\windows\PKTEKU.exe N/A
File opened for modification C:\windows\SysWOW64\UXVSE.exe C:\windows\system\OXNEV.exe N/A
File created C:\windows\SysWOW64\IPWTM.exe.bat C:\windows\system\RKLBWXX.exe N/A
File created C:\windows\SysWOW64\CBS.exe.bat C:\windows\system\KAQIGS.exe N/A
File opened for modification C:\windows\SysWOW64\SRJGLH.exe C:\windows\SysWOW64\BGTILM.exe N/A
File created C:\windows\SysWOW64\GNP.exe C:\windows\GIXYUUH.exe N/A
File opened for modification C:\windows\SysWOW64\WERFL.exe C:\windows\SysWOW64\WYRR.exe N/A
File opened for modification C:\windows\SysWOW64\ZHGIK.exe C:\windows\SysWOW64\LBIL.exe N/A
File created C:\windows\SysWOW64\UXVSE.exe C:\windows\system\OXNEV.exe N/A
File opened for modification C:\windows\SysWOW64\HKFSRRF.exe C:\windows\VHUFI.exe N/A
File created C:\windows\SysWOW64\QOYY.exe.bat C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe N/A
File opened for modification C:\windows\SysWOW64\YXHBFI.exe C:\windows\system\QHGKH.exe N/A
File created C:\windows\SysWOW64\WMUSOFC.exe C:\windows\SysWOW64\EJQWJ.exe N/A
File created C:\windows\SysWOW64\OIA.exe C:\windows\system\RCC.exe N/A
File created C:\windows\SysWOW64\GNP.exe.bat C:\windows\GIXYUUH.exe N/A
File opened for modification C:\windows\SysWOW64\ERSKZCA.exe C:\windows\system\YRKXQ.exe N/A
File created C:\windows\SysWOW64\BYTOF.exe C:\windows\ESV.exe N/A
File created C:\windows\SysWOW64\FYD.exe.bat C:\windows\SysWOW64\UFAEVWT.exe N/A
File created C:\windows\SysWOW64\OLYDLQ.exe.bat C:\windows\NIMZFAS.exe N/A
File created C:\windows\SysWOW64\LBIL.exe C:\windows\SysWOW64\DJZ.exe N/A
File created C:\windows\SysWOW64\MQE.exe.bat C:\windows\SysWOW64\TTSUM.exe N/A
File created C:\windows\SysWOW64\OIR.exe.bat C:\windows\SysWOW64\ZNHJC.exe N/A
File created C:\windows\SysWOW64\UFAEVWT.exe.bat C:\windows\system\NPZEOA.exe N/A
File created C:\windows\SysWOW64\JVY.exe C:\windows\SysWOW64\RAUQZR.exe N/A

Drops file in Windows directory

Description Indicator Process Target
File opened for modification C:\windows\MYIPXG.exe C:\windows\system\CYGCU.exe N/A
File opened for modification C:\windows\system\FFRO.exe C:\windows\AVVPEKJ.exe N/A
File created C:\windows\system\OJUDB.exe.bat C:\windows\SysWOW64\PZRVST.exe N/A
File created C:\windows\system\QHGKH.exe C:\windows\SysWOW64\HKTPR.exe N/A
File opened for modification C:\windows\system\QHGKH.exe C:\windows\SysWOW64\HKTPR.exe N/A
File created C:\windows\AKGRMX.exe.bat C:\windows\SysWOW64\PSLZM.exe N/A
File opened for modification C:\windows\system\PETTZVX.exe C:\windows\HRH.exe N/A
File created C:\windows\system\PNKD.exe.bat C:\windows\system\WVUT.exe N/A
File created C:\windows\system\CIA.exe C:\windows\TIYI.exe N/A
File created C:\windows\KWTKS.exe C:\windows\MYIPXG.exe N/A
File created C:\windows\YNXVMCF.exe.bat C:\windows\system\IPJDF.exe N/A
File created C:\windows\HRWIPXB.exe.bat C:\windows\ZYNPBT.exe N/A
File created C:\windows\system\KAQIGS.exe C:\windows\KVDCVUL.exe N/A
File opened for modification C:\windows\YIKE.exe C:\windows\SIC.exe N/A
File opened for modification C:\windows\system\OJUDB.exe C:\windows\SysWOW64\PZRVST.exe N/A
File created C:\windows\system\YRKXQ.exe.bat C:\windows\system\WTRURLR.exe N/A
File opened for modification C:\windows\SIC.exe C:\windows\SysWOW64\OSWI.exe N/A
File opened for modification C:\windows\system\SBGR.exe C:\windows\KWTKS.exe N/A
File created C:\windows\system\BMXB.exe C:\windows\SysWOW64\ROSHHHH.exe N/A
File created C:\windows\system\BSSHELB.exe C:\windows\system\OHOJZU.exe N/A
File opened for modification C:\windows\system\EGOCSDJ.exe C:\windows\AQI.exe N/A
File created C:\windows\system\EGOCSDJ.exe.bat C:\windows\AQI.exe N/A
File opened for modification C:\windows\VHUFI.exe C:\windows\GMLAXRB.exe N/A
File opened for modification C:\windows\GQU.exe C:\windows\SysWOW64\RVLBI.exe N/A
File opened for modification C:\windows\KYJNF.exe C:\windows\GQU.exe N/A
File opened for modification C:\windows\SSI.exe C:\windows\WUC.exe N/A
File created C:\windows\system\WVUT.exe.bat C:\windows\system\PETTZVX.exe N/A
File opened for modification C:\windows\ZVH.exe C:\windows\SysWOW64\OIA.exe N/A
File created C:\windows\system\FMLL.exe C:\windows\SysWOW64\DPFZL.exe N/A
File created C:\windows\RBYSFMR.exe.bat C:\windows\SysWOW64\HDL.exe N/A
File created C:\windows\SSI.exe C:\windows\WUC.exe N/A
File opened for modification C:\windows\ZYNPBT.exe C:\windows\EQESU.exe N/A
File created C:\windows\LIORRKI.exe C:\windows\SysWOW64\ZQTZJ.exe N/A
File created C:\windows\WUC.exe C:\windows\PZFZ.exe N/A
File created C:\windows\system\XOD.exe C:\windows\ILTCE.exe N/A
File opened for modification C:\windows\XPW.exe C:\windows\LZPPKN.exe N/A
File opened for modification C:\windows\system\RCC.exe C:\windows\SysWOW64\OMWFRC.exe N/A
File created C:\windows\ADZATNN.exe.bat C:\windows\system\FFRO.exe N/A
File created C:\windows\system\ECSVBX.exe.bat C:\windows\system\AUY.exe N/A
File opened for modification C:\windows\NOGA.exe C:\windows\FWXZ.exe N/A
File created C:\windows\system\CIA.exe.bat C:\windows\TIYI.exe N/A
File created C:\windows\ZVH.exe.bat C:\windows\SysWOW64\OIA.exe N/A
File created C:\windows\system\RWCG.exe.bat C:\windows\SysWOW64\RBYCXYC.exe N/A
File created C:\windows\system\ESWN.exe C:\windows\system\ZSPZWV.exe N/A
File created C:\windows\GCRZH.exe.bat C:\windows\RHINOCA.exe N/A
File opened for modification C:\windows\system\THTKFX.exe C:\windows\SysWOW64\ERSKZCA.exe N/A
File created C:\windows\system\GDJJJ.exe.bat C:\windows\SysWOW64\MQE.exe N/A
File opened for modification C:\windows\system\MEG.exe C:\windows\SysWOW64\MMY.exe N/A
File opened for modification C:\windows\ORFXJ.exe C:\windows\SysWOW64\UEAO.exe N/A
File opened for modification C:\windows\EWIBKIL.exe C:\windows\SysWOW64\AGG.exe N/A
File created C:\windows\VWQ.exe C:\windows\system\PVJ.exe N/A
File created C:\windows\LKNJCT.exe.bat C:\windows\system\XPCJ.exe N/A
File opened for modification C:\windows\system\PNKD.exe C:\windows\system\WVUT.exe N/A
File opened for modification C:\windows\NIMZFAS.exe C:\windows\SysWOW64\GNP.exe N/A
File created C:\windows\system\OXNEV.exe.bat C:\windows\FZIKOT.exe N/A
File opened for modification C:\windows\HRWIPXB.exe C:\windows\ZYNPBT.exe N/A
File opened for modification C:\windows\VTIIPK.exe C:\windows\SysWOW64\NYLVFJE.exe N/A
File created C:\windows\VHUFI.exe C:\windows\GMLAXRB.exe N/A
File created C:\windows\ESV.exe.bat C:\windows\AKGRMX.exe N/A
File opened for modification C:\windows\system\TBWKTOE.exe C:\windows\SysWOW64\BYTOF.exe N/A
File opened for modification C:\windows\ILTCE.exe C:\windows\system\ZKRX.exe N/A
File created C:\windows\AKHGEGS.exe.bat C:\windows\system\QNCTP.exe N/A
File created C:\windows\system\BZAVPEG.exe C:\windows\SysWOW64\TGAUBAS.exe N/A
File opened for modification C:\windows\WUC.exe C:\windows\PZFZ.exe N/A

Enumerates physical storage devices

Program crash

Description Indicator Process Target
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\QOYY.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\SBDIBR.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\KEVS.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\HKTPR.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\QHGKH.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\YXHBFI.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\ZTLFT.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\CJSFFQI.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\MJUS.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\MMY.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\MEG.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\PSLZM.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\AKGRMX.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\ESV.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\BYTOF.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\TBWKTOE.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\UEAO.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\ORFXJ.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\HURT.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\ANYM.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\IIV.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\CVAIS.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\BLHKV.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\DJA.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\HRH.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\PETTZVX.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\WVUT.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\PNKD.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\CYGCU.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\MYIPXG.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\KWTKS.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\SBGR.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\AHGFE.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\EXMNRPT.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\ZKRX.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\ILTCE.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\XOD.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\POFTTFN.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\JBJ.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\LZPPKN.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\XPW.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\MVCUE.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\SIB.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\YII.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\EJQWJ.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\WMUSOFC.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\OMWFRC.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\RCC.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\OIA.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\ZVH.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\BYR.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\ROSHHHH.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\BMXB.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\PJDYEZ.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\QMH.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\DXQ.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\AVVPEKJ.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\FFRO.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\ADZATNN.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\RBYCXYC.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\RWCG.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\SysWOW64\DPFZL.exe
N/A N/A C:\Windows\SysWOW64\WerFault.exe C:\windows\system\FMLL.exe

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe N/A
N/A N/A C:\windows\SysWOW64\QOYY.exe N/A
N/A N/A C:\windows\SysWOW64\QOYY.exe N/A
N/A N/A C:\windows\system\SBDIBR.exe N/A
N/A N/A C:\windows\system\SBDIBR.exe N/A
N/A N/A C:\windows\system\KEVS.exe N/A
N/A N/A C:\windows\system\KEVS.exe N/A
N/A N/A C:\windows\SysWOW64\HKTPR.exe N/A
N/A N/A C:\windows\SysWOW64\HKTPR.exe N/A
N/A N/A C:\windows\system\QHGKH.exe N/A
N/A N/A C:\windows\system\QHGKH.exe N/A
N/A N/A C:\windows\SysWOW64\YXHBFI.exe N/A
N/A N/A C:\windows\SysWOW64\YXHBFI.exe N/A
N/A N/A C:\windows\ZTLFT.exe N/A
N/A N/A C:\windows\ZTLFT.exe N/A
N/A N/A C:\windows\CJSFFQI.exe N/A
N/A N/A C:\windows\CJSFFQI.exe N/A
N/A N/A C:\windows\SysWOW64\MJUS.exe N/A
N/A N/A C:\windows\SysWOW64\MJUS.exe N/A
N/A N/A C:\windows\SysWOW64\MMY.exe N/A
N/A N/A C:\windows\SysWOW64\MMY.exe N/A
N/A N/A C:\windows\system\MEG.exe N/A
N/A N/A C:\windows\system\MEG.exe N/A
N/A N/A C:\windows\SysWOW64\PSLZM.exe N/A
N/A N/A C:\windows\SysWOW64\PSLZM.exe N/A
N/A N/A C:\windows\AKGRMX.exe N/A
N/A N/A C:\windows\AKGRMX.exe N/A
N/A N/A C:\windows\ESV.exe N/A
N/A N/A C:\windows\ESV.exe N/A
N/A N/A C:\windows\SysWOW64\BYTOF.exe N/A
N/A N/A C:\windows\SysWOW64\BYTOF.exe N/A
N/A N/A C:\windows\system\TBWKTOE.exe N/A
N/A N/A C:\windows\system\TBWKTOE.exe N/A
N/A N/A C:\windows\SysWOW64\UEAO.exe N/A
N/A N/A C:\windows\SysWOW64\UEAO.exe N/A
N/A N/A C:\windows\ORFXJ.exe N/A
N/A N/A C:\windows\ORFXJ.exe N/A
N/A N/A C:\windows\system\HURT.exe N/A
N/A N/A C:\windows\system\HURT.exe N/A
N/A N/A C:\windows\SysWOW64\ANYM.exe N/A
N/A N/A C:\windows\SysWOW64\ANYM.exe N/A
N/A N/A C:\windows\IIV.exe N/A
N/A N/A C:\windows\IIV.exe N/A
N/A N/A C:\windows\SysWOW64\CVAIS.exe N/A
N/A N/A C:\windows\SysWOW64\CVAIS.exe N/A
N/A N/A C:\windows\SysWOW64\BLHKV.exe N/A
N/A N/A C:\windows\SysWOW64\BLHKV.exe N/A
N/A N/A C:\windows\DJA.exe N/A
N/A N/A C:\windows\DJA.exe N/A
N/A N/A C:\windows\HRH.exe N/A
N/A N/A C:\windows\HRH.exe N/A
N/A N/A C:\windows\system\PETTZVX.exe N/A
N/A N/A C:\windows\system\PETTZVX.exe N/A
N/A N/A C:\windows\system\WVUT.exe N/A
N/A N/A C:\windows\system\WVUT.exe N/A
N/A N/A C:\windows\system\PNKD.exe N/A
N/A N/A C:\windows\system\PNKD.exe N/A
N/A N/A C:\windows\system\CYGCU.exe N/A
N/A N/A C:\windows\system\CYGCU.exe N/A
N/A N/A C:\windows\MYIPXG.exe N/A
N/A N/A C:\windows\MYIPXG.exe N/A
N/A N/A C:\windows\KWTKS.exe N/A
N/A N/A C:\windows\KWTKS.exe N/A

Suspicious use of SetWindowsHookEx

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe N/A
N/A N/A C:\windows\SysWOW64\QOYY.exe N/A
N/A N/A C:\windows\SysWOW64\QOYY.exe N/A
N/A N/A C:\windows\system\SBDIBR.exe N/A
N/A N/A C:\windows\system\SBDIBR.exe N/A
N/A N/A C:\windows\system\KEVS.exe N/A
N/A N/A C:\windows\system\KEVS.exe N/A
N/A N/A C:\windows\SysWOW64\HKTPR.exe N/A
N/A N/A C:\windows\SysWOW64\HKTPR.exe N/A
N/A N/A C:\windows\system\QHGKH.exe N/A
N/A N/A C:\windows\system\QHGKH.exe N/A
N/A N/A C:\windows\SysWOW64\YXHBFI.exe N/A
N/A N/A C:\windows\SysWOW64\YXHBFI.exe N/A
N/A N/A C:\windows\ZTLFT.exe N/A
N/A N/A C:\windows\ZTLFT.exe N/A
N/A N/A C:\windows\CJSFFQI.exe N/A
N/A N/A C:\windows\CJSFFQI.exe N/A
N/A N/A C:\windows\SysWOW64\MJUS.exe N/A
N/A N/A C:\windows\SysWOW64\MJUS.exe N/A
N/A N/A C:\windows\SysWOW64\MMY.exe N/A
N/A N/A C:\windows\SysWOW64\MMY.exe N/A
N/A N/A C:\windows\system\MEG.exe N/A
N/A N/A C:\windows\system\MEG.exe N/A
N/A N/A C:\windows\SysWOW64\PSLZM.exe N/A
N/A N/A C:\windows\SysWOW64\PSLZM.exe N/A
N/A N/A C:\windows\AKGRMX.exe N/A
N/A N/A C:\windows\AKGRMX.exe N/A
N/A N/A C:\windows\ESV.exe N/A
N/A N/A C:\windows\ESV.exe N/A
N/A N/A C:\windows\SysWOW64\BYTOF.exe N/A
N/A N/A C:\windows\SysWOW64\BYTOF.exe N/A
N/A N/A C:\windows\system\TBWKTOE.exe N/A
N/A N/A C:\windows\system\TBWKTOE.exe N/A
N/A N/A C:\windows\SysWOW64\UEAO.exe N/A
N/A N/A C:\windows\SysWOW64\UEAO.exe N/A
N/A N/A C:\windows\ORFXJ.exe N/A
N/A N/A C:\windows\ORFXJ.exe N/A
N/A N/A C:\windows\system\HURT.exe N/A
N/A N/A C:\windows\system\HURT.exe N/A
N/A N/A C:\windows\SysWOW64\ANYM.exe N/A
N/A N/A C:\windows\SysWOW64\ANYM.exe N/A
N/A N/A C:\windows\IIV.exe N/A
N/A N/A C:\windows\IIV.exe N/A
N/A N/A C:\windows\SysWOW64\CVAIS.exe N/A
N/A N/A C:\windows\SysWOW64\CVAIS.exe N/A
N/A N/A C:\windows\SysWOW64\BLHKV.exe N/A
N/A N/A C:\windows\SysWOW64\BLHKV.exe N/A
N/A N/A C:\windows\DJA.exe N/A
N/A N/A C:\windows\DJA.exe N/A
N/A N/A C:\windows\HRH.exe N/A
N/A N/A C:\windows\HRH.exe N/A
N/A N/A C:\windows\system\PETTZVX.exe N/A
N/A N/A C:\windows\system\PETTZVX.exe N/A
N/A N/A C:\windows\system\WVUT.exe N/A
N/A N/A C:\windows\system\WVUT.exe N/A
N/A N/A C:\windows\system\PNKD.exe N/A
N/A N/A C:\windows\system\PNKD.exe N/A
N/A N/A C:\windows\system\CYGCU.exe N/A
N/A N/A C:\windows\system\CYGCU.exe N/A
N/A N/A C:\windows\MYIPXG.exe N/A
N/A N/A C:\windows\MYIPXG.exe N/A
N/A N/A C:\windows\KWTKS.exe N/A
N/A N/A C:\windows\KWTKS.exe N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 2696 wrote to memory of 1048 N/A C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe C:\Windows\SysWOW64\cmd.exe
PID 2696 wrote to memory of 1048 N/A C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe C:\Windows\SysWOW64\cmd.exe
PID 2696 wrote to memory of 1048 N/A C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe C:\Windows\SysWOW64\cmd.exe
PID 1048 wrote to memory of 1168 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\SysWOW64\QOYY.exe
PID 1048 wrote to memory of 1168 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\SysWOW64\QOYY.exe
PID 1048 wrote to memory of 1168 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\SysWOW64\QOYY.exe
PID 1168 wrote to memory of 3036 N/A C:\windows\SysWOW64\QOYY.exe C:\Windows\SysWOW64\cmd.exe
PID 1168 wrote to memory of 3036 N/A C:\windows\SysWOW64\QOYY.exe C:\Windows\SysWOW64\cmd.exe
PID 1168 wrote to memory of 3036 N/A C:\windows\SysWOW64\QOYY.exe C:\Windows\SysWOW64\cmd.exe
PID 3036 wrote to memory of 924 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\system\SBDIBR.exe
PID 3036 wrote to memory of 924 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\system\SBDIBR.exe
PID 3036 wrote to memory of 924 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\system\SBDIBR.exe
PID 924 wrote to memory of 3120 N/A C:\windows\system\SBDIBR.exe C:\Windows\SysWOW64\cmd.exe
PID 924 wrote to memory of 3120 N/A C:\windows\system\SBDIBR.exe C:\Windows\SysWOW64\cmd.exe
PID 924 wrote to memory of 3120 N/A C:\windows\system\SBDIBR.exe C:\Windows\SysWOW64\cmd.exe
PID 3120 wrote to memory of 1056 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\system\KEVS.exe
PID 3120 wrote to memory of 1056 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\system\KEVS.exe
PID 3120 wrote to memory of 1056 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\system\KEVS.exe
PID 1056 wrote to memory of 4660 N/A C:\windows\system\KEVS.exe C:\Windows\SysWOW64\cmd.exe
PID 1056 wrote to memory of 4660 N/A C:\windows\system\KEVS.exe C:\Windows\SysWOW64\cmd.exe
PID 1056 wrote to memory of 4660 N/A C:\windows\system\KEVS.exe C:\Windows\SysWOW64\cmd.exe
PID 4660 wrote to memory of 1836 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\SysWOW64\HKTPR.exe
PID 4660 wrote to memory of 1836 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\SysWOW64\HKTPR.exe
PID 4660 wrote to memory of 1836 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\SysWOW64\HKTPR.exe
PID 1836 wrote to memory of 2872 N/A C:\windows\SysWOW64\HKTPR.exe C:\Windows\SysWOW64\cmd.exe
PID 1836 wrote to memory of 2872 N/A C:\windows\SysWOW64\HKTPR.exe C:\Windows\SysWOW64\cmd.exe
PID 1836 wrote to memory of 2872 N/A C:\windows\SysWOW64\HKTPR.exe C:\Windows\SysWOW64\cmd.exe
PID 2872 wrote to memory of 2124 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\system\QHGKH.exe
PID 2872 wrote to memory of 2124 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\system\QHGKH.exe
PID 2872 wrote to memory of 2124 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\system\QHGKH.exe
PID 2124 wrote to memory of 4260 N/A C:\windows\system\QHGKH.exe C:\Windows\SysWOW64\cmd.exe
PID 2124 wrote to memory of 4260 N/A C:\windows\system\QHGKH.exe C:\Windows\SysWOW64\cmd.exe
PID 2124 wrote to memory of 4260 N/A C:\windows\system\QHGKH.exe C:\Windows\SysWOW64\cmd.exe
PID 4260 wrote to memory of 4188 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\SysWOW64\YXHBFI.exe
PID 4260 wrote to memory of 4188 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\SysWOW64\YXHBFI.exe
PID 4260 wrote to memory of 4188 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\SysWOW64\YXHBFI.exe
PID 4188 wrote to memory of 2056 N/A C:\windows\SysWOW64\YXHBFI.exe C:\Windows\SysWOW64\cmd.exe
PID 4188 wrote to memory of 2056 N/A C:\windows\SysWOW64\YXHBFI.exe C:\Windows\SysWOW64\cmd.exe
PID 4188 wrote to memory of 2056 N/A C:\windows\SysWOW64\YXHBFI.exe C:\Windows\SysWOW64\cmd.exe
PID 2056 wrote to memory of 4984 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\ZTLFT.exe
PID 2056 wrote to memory of 4984 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\ZTLFT.exe
PID 2056 wrote to memory of 4984 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\ZTLFT.exe
PID 4984 wrote to memory of 4772 N/A C:\windows\ZTLFT.exe C:\Windows\SysWOW64\cmd.exe
PID 4984 wrote to memory of 4772 N/A C:\windows\ZTLFT.exe C:\Windows\SysWOW64\cmd.exe
PID 4984 wrote to memory of 4772 N/A C:\windows\ZTLFT.exe C:\Windows\SysWOW64\cmd.exe
PID 4772 wrote to memory of 3172 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\CJSFFQI.exe
PID 4772 wrote to memory of 3172 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\CJSFFQI.exe
PID 4772 wrote to memory of 3172 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\CJSFFQI.exe
PID 3172 wrote to memory of 536 N/A C:\windows\CJSFFQI.exe C:\Windows\SysWOW64\cmd.exe
PID 3172 wrote to memory of 536 N/A C:\windows\CJSFFQI.exe C:\Windows\SysWOW64\cmd.exe
PID 3172 wrote to memory of 536 N/A C:\windows\CJSFFQI.exe C:\Windows\SysWOW64\cmd.exe
PID 536 wrote to memory of 3892 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\SysWOW64\MJUS.exe
PID 536 wrote to memory of 3892 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\SysWOW64\MJUS.exe
PID 536 wrote to memory of 3892 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\SysWOW64\MJUS.exe
PID 3892 wrote to memory of 3896 N/A C:\windows\SysWOW64\MJUS.exe C:\Windows\SysWOW64\cmd.exe
PID 3892 wrote to memory of 3896 N/A C:\windows\SysWOW64\MJUS.exe C:\Windows\SysWOW64\cmd.exe
PID 3892 wrote to memory of 3896 N/A C:\windows\SysWOW64\MJUS.exe C:\Windows\SysWOW64\cmd.exe
PID 3896 wrote to memory of 1512 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\SysWOW64\MMY.exe
PID 3896 wrote to memory of 1512 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\SysWOW64\MMY.exe
PID 3896 wrote to memory of 1512 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\SysWOW64\MMY.exe
PID 1512 wrote to memory of 932 N/A C:\windows\SysWOW64\MMY.exe C:\Windows\SysWOW64\cmd.exe
PID 1512 wrote to memory of 932 N/A C:\windows\SysWOW64\MMY.exe C:\Windows\SysWOW64\cmd.exe
PID 1512 wrote to memory of 932 N/A C:\windows\SysWOW64\MMY.exe C:\Windows\SysWOW64\cmd.exe
PID 932 wrote to memory of 3208 N/A C:\Windows\SysWOW64\cmd.exe C:\windows\system\MEG.exe

Processes

C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe

"C:\Users\Admin\AppData\Local\Temp\96eb22055e09423123b654e415f9d980_NeikiAnalytics.exe"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\QOYY.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 2696 -ip 2696

C:\windows\SysWOW64\QOYY.exe

C:\windows\system32\QOYY.exe

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2696 -s 1292

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\SBDIBR.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 500 -p 1168 -ip 1168

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1168 -s 1336

C:\windows\system\SBDIBR.exe

C:\windows\system\SBDIBR.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\KEVS.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 924 -ip 924

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 924 -s 1336

C:\windows\system\KEVS.exe

C:\windows\system\KEVS.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\HKTPR.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 596 -p 1056 -ip 1056

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1056 -s 1328

C:\windows\SysWOW64\HKTPR.exe

C:\windows\system32\HKTPR.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\QHGKH.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 1836 -ip 1836

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1836 -s 960

C:\windows\system\QHGKH.exe

C:\windows\system\QHGKH.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\YXHBFI.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 2124 -ip 2124

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2124 -s 1328

C:\windows\SysWOW64\YXHBFI.exe

C:\windows\system32\YXHBFI.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\ZTLFT.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 4188 -ip 4188

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4188 -s 1324

C:\windows\ZTLFT.exe

C:\windows\ZTLFT.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\CJSFFQI.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 4984 -ip 4984

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4984 -s 1236

C:\windows\CJSFFQI.exe

C:\windows\CJSFFQI.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\MJUS.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 424 -p 3172 -ip 3172

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3172 -s 1004

C:\windows\SysWOW64\MJUS.exe

C:\windows\system32\MJUS.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\MMY.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 3892 -ip 3892

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3892 -s 1308

C:\windows\SysWOW64\MMY.exe

C:\windows\system32\MMY.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\MEG.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 1512 -ip 1512

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1512 -s 1248

C:\windows\system\MEG.exe

C:\windows\system\MEG.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\PSLZM.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 3208 -ip 3208

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3208 -s 1328

C:\windows\SysWOW64\PSLZM.exe

C:\windows\system32\PSLZM.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\AKGRMX.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 3572 -ip 3572

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3572 -s 1324

C:\windows\AKGRMX.exe

C:\windows\AKGRMX.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\ESV.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 840 -ip 840

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 840 -s 1324

C:\windows\ESV.exe

C:\windows\ESV.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\BYTOF.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 4772 -ip 4772

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4772 -s 1004

C:\windows\SysWOW64\BYTOF.exe

C:\windows\system32\BYTOF.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\TBWKTOE.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 532 -ip 532

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 532 -s 960

C:\windows\system\TBWKTOE.exe

C:\windows\system\TBWKTOE.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\UEAO.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 1612 -ip 1612

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1612 -s 1328

C:\windows\SysWOW64\UEAO.exe

C:\windows\system32\UEAO.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\ORFXJ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 1484 -ip 1484

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1484 -s 996

C:\windows\ORFXJ.exe

C:\windows\ORFXJ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\HURT.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 3652 -ip 3652

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3652 -s 988

C:\windows\system\HURT.exe

C:\windows\system\HURT.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\ANYM.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 1836 -ip 1836

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1836 -s 960

C:\windows\SysWOW64\ANYM.exe

C:\windows\system32\ANYM.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\IIV.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 4708 -ip 4708

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4708 -s 1324

C:\windows\IIV.exe

C:\windows\IIV.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\CVAIS.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 652 -p 2212 -ip 2212

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 1004

C:\windows\SysWOW64\CVAIS.exe

C:\windows\system32\CVAIS.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\BLHKV.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 692 -p 1684 -ip 1684

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1684 -s 1300

C:\windows\SysWOW64\BLHKV.exe

C:\windows\system32\BLHKV.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\DJA.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 3916 -ip 3916

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3916 -s 1324

C:\windows\DJA.exe

C:\windows\DJA.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\HRH.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 700 -p 3008 -ip 3008

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3008 -s 1324

C:\windows\HRH.exe

C:\windows\HRH.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\PETTZVX.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 640 -p 4348 -ip 4348

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4348 -s 1004

C:\windows\system\PETTZVX.exe

C:\windows\system\PETTZVX.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\WVUT.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 1196 -ip 1196

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1196 -s 1260

C:\windows\system\WVUT.exe

C:\windows\system\WVUT.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\PNKD.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 3624 -ip 3624

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3624 -s 976

C:\windows\system\PNKD.exe

C:\windows\system\PNKD.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\CYGCU.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 4376 -ip 4376

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4376 -s 1336

C:\windows\system\CYGCU.exe

C:\windows\system\CYGCU.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\MYIPXG.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 688 -p 2876 -ip 2876

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2876 -s 1008

C:\windows\MYIPXG.exe

C:\windows\MYIPXG.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\KWTKS.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 1992 -ip 1992

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1992 -s 1000

C:\windows\KWTKS.exe

C:\windows\KWTKS.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\SBGR.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 412 -p 4916 -ip 4916

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4916 -s 988

C:\windows\system\SBGR.exe

C:\windows\system\SBGR.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\AHGFE.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 596 -p 932 -ip 932

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 932 -s 876

C:\windows\AHGFE.exe

C:\windows\AHGFE.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\EXMNRPT.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 3580 -ip 3580

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3580 -s 1328

C:\windows\SysWOW64\EXMNRPT.exe

C:\windows\system32\EXMNRPT.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\ZKRX.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 3828 -ip 3828

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3828 -s 1308

C:\windows\system\ZKRX.exe

C:\windows\system\ZKRX.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\ILTCE.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 2652 -ip 2652

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2652 -s 1324

C:\windows\ILTCE.exe

C:\windows\ILTCE.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\XOD.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 3012 -ip 3012

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3012 -s 1316

C:\windows\system\XOD.exe

C:\windows\system\XOD.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\POFTTFN.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 4352 -ip 4352

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4352 -s 1316

C:\windows\system\POFTTFN.exe

C:\windows\system\POFTTFN.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\JBJ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 652 -p 4368 -ip 4368

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4368 -s 1328

C:\windows\SysWOW64\JBJ.exe

C:\windows\system32\JBJ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\LZPPKN.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 3036 -ip 3036

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3036 -s 1260

C:\windows\LZPPKN.exe

C:\windows\LZPPKN.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\XPW.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 2628 -ip 2628

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2628 -s 880

C:\windows\XPW.exe

C:\windows\XPW.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\MVCUE.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 668 -ip 668

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 668 -s 1328

C:\windows\SysWOW64\MVCUE.exe

C:\windows\system32\MVCUE.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\SIB.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 1048 -ip 1048

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1048 -s 1336

C:\windows\system\SIB.exe

C:\windows\system\SIB.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\YII.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 644 -p 4284 -ip 4284

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4284 -s 876

C:\windows\system\YII.exe

C:\windows\system\YII.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\EJQWJ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 704 -p 1192 -ip 1192

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1192 -s 1328

C:\windows\SysWOW64\EJQWJ.exe

C:\windows\system32\EJQWJ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\WMUSOFC.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 3400 -ip 3400

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3400 -s 960

C:\windows\SysWOW64\WMUSOFC.exe

C:\windows\system32\WMUSOFC.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\OMWFRC.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 1248 -ip 1248

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1248 -s 988

C:\windows\SysWOW64\OMWFRC.exe

C:\windows\system32\OMWFRC.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\RCC.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 700 -p 1580 -ip 1580

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1580 -s 1336

C:\windows\system\RCC.exe

C:\windows\system\RCC.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\OIA.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 4644 -ip 4644

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4644 -s 1312

C:\windows\SysWOW64\OIA.exe

C:\windows\system32\OIA.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\ZVH.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 496 -p 628 -ip 628

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 628 -s 1324

C:\windows\ZVH.exe

C:\windows\ZVH.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\BYR.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 2076 -ip 2076

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2076 -s 1228

C:\windows\BYR.exe

C:\windows\BYR.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\ROSHHHH.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 696 -p 532 -ip 532

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 532 -s 1328

C:\windows\SysWOW64\ROSHHHH.exe

C:\windows\system32\ROSHHHH.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\BMXB.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 1048 -ip 1048

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1048 -s 988

C:\windows\system\BMXB.exe

C:\windows\system\BMXB.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\PJDYEZ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 692 -p 3840 -ip 3840

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3840 -s 1328

C:\windows\SysWOW64\PJDYEZ.exe

C:\windows\system32\PJDYEZ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\QMH.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 428 -p 856 -ip 856

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 856 -s 960

C:\windows\system\QMH.exe

C:\windows\system\QMH.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\DXQ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 1672 -ip 1672

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1672 -s 1336

C:\windows\system\DXQ.exe

C:\windows\system\DXQ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\AVVPEKJ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 676 -p 1616 -ip 1616

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1616 -s 1296

C:\windows\AVVPEKJ.exe

C:\windows\AVVPEKJ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\FFRO.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 4144 -ip 4144

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4144 -s 1336

C:\windows\system\FFRO.exe

C:\windows\system\FFRO.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\ADZATNN.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 596 -p 4704 -ip 4704

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4704 -s 960

C:\windows\ADZATNN.exe

C:\windows\ADZATNN.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\RBYCXYC.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 2248 -ip 2248

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2248 -s 1328

C:\windows\SysWOW64\RBYCXYC.exe

C:\windows\system32\RBYCXYC.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\RWCG.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 2076 -ip 2076

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2076 -s 1312

C:\windows\system\RWCG.exe

C:\windows\system\RWCG.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\DPFZL.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 672 -p 4660 -ip 4660

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4660 -s 960

C:\windows\SysWOW64\DPFZL.exe

C:\windows\system32\DPFZL.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\FMLL.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 1196 -ip 1196

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1196 -s 1228

C:\windows\system\FMLL.exe

C:\windows\system\FMLL.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\KNSZJGD.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 2324 -ip 2324

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2324 -s 1308

C:\windows\SysWOW64\KNSZJGD.exe

C:\windows\system32\KNSZJGD.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\ULGT.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 4000 -ip 4000

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4000 -s 1316

C:\windows\ULGT.exe

C:\windows\ULGT.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\YBMBDH.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 712 -p 4192 -ip 4192

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4192 -s 1336

C:\windows\system\YBMBDH.exe

C:\windows\system\YBMBDH.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\YGFQEUD.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 5084 -ip 5084

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 5084 -s 988

C:\windows\system\YGFQEUD.exe

C:\windows\system\YGFQEUD.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\OBWUX.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4144 -ip 4144

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4144 -s 1260

C:\windows\SysWOW64\OBWUX.exe

C:\windows\system32\OBWUX.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\OHOJZU.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 1528 -ip 1528

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1528 -s 1312

C:\windows\system\OHOJZU.exe

C:\windows\system\OHOJZU.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\BSSHELB.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 2032 -ip 2032

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2032 -s 1304

C:\windows\system\BSSHELB.exe

C:\windows\system\BSSHELB.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\QNCTP.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 4956 -ip 4956

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4956 -s 1336

C:\windows\system\QNCTP.exe

C:\windows\system\QNCTP.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\AKHGEGS.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 2900 -ip 2900

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2900 -s 1236

C:\windows\AKHGEGS.exe

C:\windows\AKHGEGS.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\AQI.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 4456 -ip 4456

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4456 -s 1324

C:\windows\AQI.exe

C:\windows\AQI.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\EGOCSDJ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 1060 -ip 1060

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1060 -s 1276

C:\windows\system\EGOCSDJ.exe

C:\windows\system\EGOCSDJ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\PZRVST.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 4672 -ip 4672

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4672 -s 1208

C:\windows\SysWOW64\PZRVST.exe

C:\windows\system32\PZRVST.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\OJUDB.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 4076 -ip 4076

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4076 -s 1336

C:\windows\system\OJUDB.exe

C:\windows\system\OJUDB.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\IXZULZB.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 1916 -ip 1916

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1916 -s 960

C:\windows\system\IXZULZB.exe

C:\windows\system\IXZULZB.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\RKLBWXX.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 3676 -ip 3676

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3676 -s 1280

C:\windows\system\RKLBWXX.exe

C:\windows\system\RKLBWXX.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\IPWTM.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 872 -ip 872

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 872 -s 872

C:\windows\SysWOW64\IPWTM.exe

C:\windows\system32\IPWTM.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\IDOIN.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 720 -p 1428 -ip 1428

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1428 -s 1236

C:\windows\IDOIN.exe

C:\windows\IDOIN.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\RIYADD.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 720 -p 2696 -ip 2696

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2696 -s 1336

C:\windows\system\RIYADD.exe

C:\windows\system\RIYADD.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\TGAUBAS.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 612 -p 2820 -ip 2820

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2820 -s 988

C:\windows\SysWOW64\TGAUBAS.exe

C:\windows\system32\TGAUBAS.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\BZAVPEG.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 4764 -ip 4764

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 1336

C:\windows\system\BZAVPEG.exe

C:\windows\system\BZAVPEG.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\BEAKR.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 376 -ip 376

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 376 -s 960

C:\windows\BEAKR.exe

C:\windows\BEAKR.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\IPJDF.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 5000 -ip 5000

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 5000 -s 1336

C:\windows\system\IPJDF.exe

C:\windows\system\IPJDF.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\YNXVMCF.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 696 -p 1780 -ip 1780

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1780 -s 1268

C:\windows\YNXVMCF.exe

C:\windows\YNXVMCF.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\LQTBZU.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 1512 -ip 1512

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1512 -s 988

C:\windows\system\LQTBZU.exe

C:\windows\system\LQTBZU.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\AGG.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 4052 -ip 4052

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4052 -s 1260

C:\windows\SysWOW64\AGG.exe

C:\windows\system32\AGG.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\EWIBKIL.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 2752 -ip 2752

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2752 -s 1324

C:\windows\EWIBKIL.exe

C:\windows\EWIBKIL.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\DHLJTO.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4256 -ip 4256

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4256 -s 960

C:\windows\DHLJTO.exe

C:\windows\DHLJTO.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\SCUV.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 732 -p 3908 -ip 3908

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3908 -s 1248

C:\windows\system\SCUV.exe

C:\windows\system\SCUV.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\NPZEOA.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 3960 -ip 3960

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3960 -s 1248

C:\windows\system\NPZEOA.exe

C:\windows\system\NPZEOA.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\UFAEVWT.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 500 -p 4032 -ip 4032

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4032 -s 988

C:\windows\SysWOW64\UFAEVWT.exe

C:\windows\system32\UFAEVWT.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\FYD.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 2244 -ip 2244

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2244 -s 960

C:\windows\SysWOW64\FYD.exe

C:\windows\system32\FYD.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\PVJ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 1884 -ip 1884

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1884 -s 1316

C:\windows\system\PVJ.exe

C:\windows\system\PVJ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\VWQ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 728 -p 3212 -ip 3212

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3212 -s 1324

C:\windows\VWQ.exe

C:\windows\VWQ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\VBRLVT.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 1456 -ip 1456

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1456 -s 1336

C:\windows\system\VBRLVT.exe

C:\windows\system\VBRLVT.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\OJQ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 680 -p 1196 -ip 1196

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1196 -s 1336

C:\windows\system\OJQ.exe

C:\windows\system\OJQ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\FSSHPU.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 1000 -ip 1000

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1000 -s 1324

C:\windows\FSSHPU.exe

C:\windows\FSSHPU.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\AFX.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 3928 -ip 3928

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3928 -s 1336

C:\windows\system\AFX.exe

C:\windows\system\AFX.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\NQGPOE.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 4168 -ip 4168

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4168 -s 960

C:\windows\NQGPOE.exe

C:\windows\NQGPOE.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\HDL.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 720 -p 924 -ip 924

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 924 -s 1328

C:\windows\SysWOW64\HDL.exe

C:\windows\system32\HDL.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\RBYSFMR.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 500 -p 3368 -ip 3368

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3368 -s 1288

C:\windows\RBYSFMR.exe

C:\windows\RBYSFMR.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\RGQ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 3544 -ip 3544

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3544 -s 1004

C:\windows\RGQ.exe

C:\windows\RGQ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\FRHGVC.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 3624 -ip 3624

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3624 -s 1268

C:\windows\SysWOW64\FRHGVC.exe

C:\windows\system32\FRHGVC.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\QKCQVKX.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 688 -p 1172 -ip 1172

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1172 -s 988

C:\windows\system\QKCQVKX.exe

C:\windows\system\QKCQVKX.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\RFGU.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 500 -p 508 -ip 508

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 508 -s 1324

C:\windows\SysWOW64\RFGU.exe

C:\windows\system32\RFGU.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\GIXYUUH.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 3400 -ip 3400

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3400 -s 1300

C:\windows\GIXYUUH.exe

C:\windows\GIXYUUH.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\GNP.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 3344 -ip 3344

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3344 -s 1300

C:\windows\SysWOW64\GNP.exe

C:\windows\system32\GNP.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\NIMZFAS.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 3932 -ip 3932

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3932 -s 1324

C:\windows\NIMZFAS.exe

C:\windows\NIMZFAS.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\OLYDLQ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 4644 -ip 4644

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4644 -s 1296

C:\windows\SysWOW64\OLYDLQ.exe

C:\windows\system32\OLYDLQ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\FMEAXH.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 2072 -ip 2072

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2072 -s 1004

C:\windows\FMEAXH.exe

C:\windows\FMEAXH.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\VJLLJ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 2976 -ip 2976

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2976 -s 1272

C:\windows\system\VJLLJ.exe

C:\windows\system\VJLLJ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\WEPH.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 720 -p 4004 -ip 4004

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4004 -s 960

C:\windows\WEPH.exe

C:\windows\WEPH.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\RAUQZR.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 2248 -ip 2248

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2248 -s 960

C:\windows\SysWOW64\RAUQZR.exe

C:\windows\system32\RAUQZR.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\JVY.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 764 -ip 764

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 764 -s 1328

C:\windows\SysWOW64\JVY.exe

C:\windows\system32\JVY.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\ZYHYPB.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 3056 -ip 3056

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3056 -s 1324

C:\windows\SysWOW64\ZYHYPB.exe

C:\windows\system32\ZYHYPB.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\XJGWXO.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 2792 -ip 2792

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2792 -s 1324

C:\windows\XJGWXO.exe

C:\windows\XJGWXO.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\WYRR.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 688 -p 2204 -ip 2204

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2204 -s 1328

C:\windows\SysWOW64\WYRR.exe

C:\windows\system32\WYRR.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\WERFL.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 708 -p 2176 -ip 2176

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2176 -s 1328

C:\windows\SysWOW64\WERFL.exe

C:\windows\system32\WERFL.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\AUY.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 672 -p 4580 -ip 4580

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4580 -s 1336

C:\windows\system\AUY.exe

C:\windows\system\AUY.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\ECSVBX.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 500 -p 3796 -ip 3796

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3796 -s 1328

C:\windows\system\ECSVBX.exe

C:\windows\system\ECSVBX.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\RNIUPI.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 844 -ip 844

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 844 -s 960

C:\windows\system\RNIUPI.exe

C:\windows\system\RNIUPI.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\EQESU.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 4496 -ip 4496

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4496 -s 1236

C:\windows\EQESU.exe

C:\windows\EQESU.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\ZYNPBT.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 4840 -ip 4840

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4840 -s 1324

C:\windows\ZYNPBT.exe

C:\windows\ZYNPBT.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\HRWIPXB.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 2248 -ip 2248

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2248 -s 1300

C:\windows\HRWIPXB.exe

C:\windows\HRWIPXB.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\FBYYYD.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 708 -p 764 -ip 764

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 764 -s 1324

C:\windows\FBYYYD.exe

C:\windows\FBYYYD.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\APDIADM.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 672 -p 4420 -ip 4420

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4420 -s 1324

C:\windows\APDIADM.exe

C:\windows\APDIADM.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\PSNUT.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 3424 -ip 3424

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3424 -s 988

C:\windows\SysWOW64\PSNUT.exe

C:\windows\system32\PSNUT.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\ZSPZWV.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 4796 -ip 4796

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4796 -s 1336

C:\windows\system\ZSPZWV.exe

C:\windows\system\ZSPZWV.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\ESWN.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 2204 -ip 2204

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2204 -s 1004

C:\windows\system\ESWN.exe

C:\windows\system\ESWN.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\QGVL.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 544 -ip 544

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 544 -s 1324

C:\windows\QGVL.exe

C:\windows\QGVL.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\DJZ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 428 -p 864 -ip 864

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 864 -s 1308

C:\windows\SysWOW64\DJZ.exe

C:\windows\system32\DJZ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\LBIL.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 3092 -ip 3092

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3092 -s 1260

C:\windows\SysWOW64\LBIL.exe

C:\windows\system32\LBIL.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\ZHGIK.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 672 -p 3584 -ip 3584

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3584 -s 1328

C:\windows\SysWOW64\ZHGIK.exe

C:\windows\system32\ZHGIK.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\RHINOCA.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 712 -p 3476 -ip 3476

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3476 -s 1324

C:\windows\RHINOCA.exe

C:\windows\RHINOCA.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\GCRZH.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 1324 -ip 1324

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1324 -s 1324

C:\windows\GCRZH.exe

C:\windows\GCRZH.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\PKTEKU.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 1852 -ip 1852

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1852 -s 1292

C:\windows\PKTEKU.exe

C:\windows\PKTEKU.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\KYY.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 3360 -ip 3360

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3360 -s 1328

C:\windows\SysWOW64\KYY.exe

C:\windows\system32\KYY.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\ELDX.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 4508 -ip 4508

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4508 -s 1328

C:\windows\SysWOW64\ELDX.exe

C:\windows\system32\ELDX.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\WTRURLR.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 4348 -ip 4348

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4348 -s 960

C:\windows\system\WTRURLR.exe

C:\windows\system\WTRURLR.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\YRKXQ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 1428 -ip 1428

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1428 -s 1272

C:\windows\system\YRKXQ.exe

C:\windows\system\YRKXQ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\ERSKZCA.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 1672 -ip 1672

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1672 -s 1328

C:\windows\SysWOW64\ERSKZCA.exe

C:\windows\system32\ERSKZCA.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\THTKFX.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 4912 -ip 4912

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4912 -s 1336

C:\windows\system\THTKFX.exe

C:\windows\system\THTKFX.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\KVDCVUL.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 676 -p 3676 -ip 3676

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3676 -s 1324

C:\windows\KVDCVUL.exe

C:\windows\KVDCVUL.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\KAQIGS.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 644 -p 4532 -ip 4532

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4532 -s 976

C:\windows\system\KAQIGS.exe

C:\windows\system\KAQIGS.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\CBS.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 3740 -ip 3740

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3740 -s 1264

C:\windows\SysWOW64\CBS.exe

C:\windows\system32\CBS.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\WWXX.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 2404 -ip 2404

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2404 -s 1264

C:\windows\SysWOW64\WWXX.exe

C:\windows\system32\WWXX.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\FWZ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 700 -p 4936 -ip 4936

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4936 -s 1308

C:\windows\SysWOW64\FWZ.exe

C:\windows\system32\FWZ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\XJJ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 852 -ip 852

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 852 -s 1328

C:\windows\SysWOW64\XJJ.exe

C:\windows\system32\XJJ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\XPCJ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 692 -p 740 -ip 740

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 740 -s 988

C:\windows\system\XPCJ.exe

C:\windows\system\XPCJ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\LKNJCT.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 1904 -ip 1904

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1904 -s 960

C:\windows\LKNJCT.exe

C:\windows\LKNJCT.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\ZQTZJ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 1824 -ip 1824

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1824 -s 1328

C:\windows\SysWOW64\ZQTZJ.exe

C:\windows\system32\ZQTZJ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\LIORRKI.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 2824 -ip 2824

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2824 -s 1268

C:\windows\LIORRKI.exe

C:\windows\LIORRKI.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\WQDZ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 672 -p 4512 -ip 4512

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4512 -s 976

C:\windows\SysWOW64\WQDZ.exe

C:\windows\system32\WQDZ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\PUG.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 3580 -ip 3580

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3580 -s 1300

C:\windows\PUG.exe

C:\windows\PUG.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\KHLEL.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 5092 -ip 5092

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 5092 -s 872

C:\windows\KHLEL.exe

C:\windows\KHLEL.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\ZCV.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 692 -p 4532 -ip 4532

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4532 -s 960

C:\windows\ZCV.exe

C:\windows\ZCV.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\OSWI.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 2960 -ip 2960

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2960 -s 1328

C:\windows\SysWOW64\OSWI.exe

C:\windows\system32\OSWI.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\SIC.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 496 -p 4496 -ip 4496

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4496 -s 1324

C:\windows\SIC.exe

C:\windows\SIC.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\YIKE.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 1580 -ip 1580

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1580 -s 1324

C:\windows\YIKE.exe

C:\windows\YIKE.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\NYLVFJE.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 1844 -ip 1844

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1844 -s 1328

C:\windows\SysWOW64\NYLVFJE.exe

C:\windows\system32\NYLVFJE.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\VTIIPK.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 4168 -ip 4168

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4168 -s 1236

C:\windows\VTIIPK.exe

C:\windows\VTIIPK.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\GMLAXRB.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 3456 -ip 3456

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3456 -s 960

C:\windows\GMLAXRB.exe

C:\windows\GMLAXRB.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\VHUFI.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 656 -p 1632 -ip 1632

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1632 -s 1324

C:\windows\VHUFI.exe

C:\windows\VHUFI.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\HKFSRRF.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 496 -p 2304 -ip 2304

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 988

C:\windows\SysWOW64\HKFSRRF.exe

C:\windows\system32\HKFSRRF.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\LAMA.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 656 -p 1948 -ip 1948

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 1336

C:\windows\system\LAMA.exe

C:\windows\system\LAMA.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\RVLBI.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 4048 -ip 4048

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4048 -s 1328

C:\windows\SysWOW64\RVLBI.exe

C:\windows\system32\RVLBI.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\GQU.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 3048 -ip 3048

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3048 -s 1004

C:\windows\GQU.exe

C:\windows\GQU.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\KYJNF.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 644 -p 2388 -ip 2388

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2388 -s 1324

C:\windows\KYJNF.exe

C:\windows\KYJNF.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\OJH.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 708 -p 4256 -ip 4256

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4256 -s 1328

C:\windows\SysWOW64\OJH.exe

C:\windows\system32\OJH.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\OUICT.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 3884 -ip 3884

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3884 -s 1292

C:\windows\SysWOW64\OUICT.exe

C:\windows\system32\OUICT.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\WIUIE.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 496 -p 2792 -ip 2792

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2792 -s 1304

C:\windows\WIUIE.exe

C:\windows\WIUIE.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\YXNK.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 472 -p 536 -ip 536

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 536 -s 1300

C:\windows\SysWOW64\YXNK.exe

C:\windows\system32\YXNK.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\TTSUM.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 688 -p 4092 -ip 4092

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4092 -s 960

C:\windows\SysWOW64\TTSUM.exe

C:\windows\system32\TTSUM.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\MQE.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 708 -p 4240 -ip 4240

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4240 -s 1264

C:\windows\SysWOW64\MQE.exe

C:\windows\system32\MQE.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\GDJJJ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 500 -p 2976 -ip 2976

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2976 -s 1336

C:\windows\system\GDJJJ.exe

C:\windows\system\GDJJJ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\FZIKOT.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 3728 -ip 3728

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3728 -s 1288

C:\windows\FZIKOT.exe

C:\windows\FZIKOT.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\OXNEV.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 720 -p 2280 -ip 2280

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2280 -s 960

C:\windows\system\OXNEV.exe

C:\windows\system\OXNEV.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\UXVSE.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 692 -p 4504 -ip 4504

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4504 -s 1328

C:\windows\SysWOW64\UXVSE.exe

C:\windows\system32\UXVSE.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\TIYI.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 3740 -ip 3740

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3740 -s 1236

C:\windows\TIYI.exe

C:\windows\TIYI.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\CIA.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 3020 -ip 3020

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3020 -s 1336

C:\windows\system\CIA.exe

C:\windows\system\CIA.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\BGTILM.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 3612 -ip 3612

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3612 -s 1328

C:\windows\SysWOW64\BGTILM.exe

C:\windows\system32\BGTILM.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\SRJGLH.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 4552 -ip 4552

C:\windows\SysWOW64\SRJGLH.exe

C:\windows\system32\SRJGLH.exe

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 1328

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\NBAE.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 4976 -ip 4976

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4976 -s 1304

C:\windows\NBAE.exe

C:\windows\NBAE.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\PZFZ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 4360 -ip 4360

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4360 -s 1296

C:\windows\PZFZ.exe

C:\windows\PZFZ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\WUC.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 2872 -ip 2872

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2872 -s 1304

C:\windows\WUC.exe

C:\windows\WUC.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\SSI.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 3888 -ip 3888

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3888 -s 1324

C:\windows\SSI.exe

C:\windows\SSI.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\ZNHJC.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 2628 -ip 2628

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2628 -s 1328

C:\windows\SysWOW64\ZNHJC.exe

C:\windows\system32\ZNHJC.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\OIR.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 2672 -ip 2672

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2672 -s 960

C:\windows\SysWOW64\OIR.exe

C:\windows\system32\OIR.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\XQTS.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 4088 -ip 4088

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4088 -s 960

C:\windows\SysWOW64\XQTS.exe

C:\windows\system32\XQTS.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\FWXZ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 644 -p 4480 -ip 4480

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 4480 -s 1324

C:\windows\FWXZ.exe

C:\windows\FWXZ.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\NOGA.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 2200 -ip 2200

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2200 -s 1008

C:\windows\NOGA.exe

C:\windows\NOGA.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system\AMG.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 2044 -ip 2044

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 2044 -s 1248

C:\windows\system\AMG.exe

C:\windows\system\AMG.exe

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c ""C:\windows\system32\XSMJ.exe.bat" "

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -pss -s 500 -p 3380 -ip 3380

C:\Windows\SysWOW64\WerFault.exe

C:\Windows\SysWOW64\WerFault.exe -u -p 3380 -s 1308

C:\windows\SysWOW64\XSMJ.exe

C:\windows\system32\XSMJ.exe

Network

Country Destination Domain Proto
US 8.8.8.8:53 104.219.191.52.in-addr.arpa udp
US 8.8.8.8:53 8.8.8.8.in-addr.arpa udp
US 8.8.8.8:53 0.205.248.87.in-addr.arpa udp
US 8.8.8.8:53 133.32.126.40.in-addr.arpa udp
US 8.8.8.8:53 95.221.229.192.in-addr.arpa udp
US 8.8.8.8:53 241.150.49.20.in-addr.arpa udp
US 8.8.8.8:53 58.55.71.13.in-addr.arpa udp
US 8.8.8.8:53 157.123.68.40.in-addr.arpa udp
US 8.8.8.8:53 171.39.242.20.in-addr.arpa udp
US 8.8.8.8:53 99.58.20.217.in-addr.arpa udp
US 8.8.8.8:53 100.58.20.217.in-addr.arpa udp
US 8.8.8.8:53 21.236.111.52.in-addr.arpa udp

Files

memory/2696-0-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\SysWOW64\QOYY.exe.bat

MD5 809823198f91a609b2c937bb33468120
SHA1 45d015da0c039f4bfcca42f0ba6b5648646e0c06
SHA256 334f3c9633800cea7ae06423d2f70d2aa9bf0b2f8e26ae5e5513a99d12d038b2
SHA512 1f46f209a6a1ce000a73ee7123d04834efcd01defc6a9ad949b4a534ffcadaceee1c135c90c9ad2cf1938b29023a3cc2c2a18e9ca156043426c816899b912fe1

C:\Windows\SysWOW64\QOYY.exe

MD5 50e14bca97a39eb504e087c2af966c8a
SHA1 652f8ac585084959daba5a8b9ec7f07a238a2094
SHA256 bea68fb41c8ebc36e14a5bbc60d031492ba533e2eebcd30d1982b722f05af589
SHA512 1e2841e19d54bb050dd8bb0ca3e679f92e4d8cf45776cd646f98c3325bd0d3edce6f18cc4ebc1b40801d81921d7893e69deb0e327a31d9c0549db452d8a170af

memory/1168-11-0x0000000000400000-0x0000000000439000-memory.dmp

C:\Windows\System\SBDIBR.exe

MD5 c5bd5ffea08b79022dde4200090f8889
SHA1 f9a56a5f734a2e9b60f7fb906eeb194a7f9a797e
SHA256 c4654545ccc5dc9a559c768c972cc1c37d2ca9ca7d6e9d0970ce3c5ad18670bb
SHA512 3b1cd29e72942c09273c8101dc1b9ae689f5bfd26020b82ef892ffa239d4a0522327341493e426ed3dd69030b8f9e467668d9b341e1fedf27c7303ba6b55ecdc

C:\windows\system\SBDIBR.exe.bat

MD5 b61ac35179e882a648952abed69a07cd
SHA1 496f94f3678dda12f99e554bff245c97451033de
SHA256 7f54065fde0a8cc15bfcef1ee31e3ee4261562c3c39b109a5e300424d0bd7358
SHA512 4f62e65e726f8175f9880603972bc47eb5bf7519afa7b98d8843300e463fcfd03884de8a3cf9b33526ec57915e90701198a46228ef9f9be3112f7b0f5fe6a447

memory/924-21-0x0000000000400000-0x0000000000439000-memory.dmp

memory/2696-23-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1168-24-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\system\KEVS.exe.bat

MD5 c4f7a1bc0c553066e63f79d32c501da2
SHA1 accd1092a9b2e48d2e98201bd4bcd3371cf9c9b7
SHA256 05c5b5a8c5b862dc96b5585fc81e2e632a159c67e192baf3b19ee58176d8b099
SHA512 f01af10e6df7fe08eeab0bc0d7bb07d02107db23267b9cf18aee3b1548bf77e123d421932396b26de2519fede56cd0ba08746dff75da35236505c1244e785021

C:\Windows\System\KEVS.exe

MD5 6f144d2bf3290d0f4cbe717463c56e9e
SHA1 ecbf8bdd03fa522bbd3baf4360be66571bbf842f
SHA256 d19c7863cbc1e4bba0f643959ddc15c60c78566e02462e9f6f4f57f813910508
SHA512 a7f2ed556864fb18cb3bbe6b9f5850834f9d655451c86330acf0abc229f28122aa4e9ce4bd993331aa9f0a1fee0b0cffc7fe45f1ad74166e4b69496bffd08ca6

memory/1056-35-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\SysWOW64\HKTPR.exe.bat

MD5 9b7720b4495ed5f230b81d1cd643965a
SHA1 67300b06a66d1ee345ebd4eb35a498b441616cda
SHA256 2f2722aec87e178df6c93c13d36c1a3edac8255a1745e6c8c8baec090563806e
SHA512 9b51786559ae4e7f2703e7ce37204c9a1fcb6db746a4bef0bd1a301ec047d4aef93f6f0640bd260b55717277c7cbba7419e1ab60d2549bfda7ca4ec92815ac5d

memory/1836-46-0x0000000000400000-0x0000000000439000-memory.dmp

memory/924-47-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\SysWOW64\HKTPR.exe

MD5 410a348252663f499a952491f3a76a00
SHA1 6b0b5e9812d64fa84c1341f300516c7494d53b23
SHA256 fd2ab1e87b8b3b9db5f8fef81872283de744bc9d85896b6f0ab7cfa24b7eab14
SHA512 872d75bf902e7253f40fc50a2b3cbc224645c4e161bec588fbc31aa5bb778b2c71b6ec8e9ff0645c21298eee7cf01e50a05dff1de6288b5031975d196b120a46

C:\windows\system\QHGKH.exe.bat

MD5 1fb506c10fe65245c275d86e9b5ad724
SHA1 79799d6a576b660f70c0f5f5fd0db74237f22ccf
SHA256 ea5b21dcd895cf0415bc774c09084daaed733d13bf6230cc90c4271163e247ce
SHA512 8d304984d391b3253228b259d1f326bb8bf262560eae256f12cc073aa0ca75a770bb85e5e182366a959e4eaf7ad9f11ae39b8520af71576b992d0d8bb6ea0117

C:\windows\system\QHGKH.exe

MD5 34a11ba6d9303b13926c10c1facbd71b
SHA1 4f0d776e918c4781778460afc4f1c6530b91d900
SHA256 9c5925e5f6477678ba6aeb87d6fc52d276860ae9de4b4cf3da921dc43dea0924
SHA512 03455849b6d37f7b8435c3b1b0ec9c2c445f5794d76c573078b9e728285df99984a971e8a3d9967921d841030c63198807897ab4c989beb2464b3e44a2d96f37

memory/2124-58-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1056-59-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1836-66-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\SysWOW64\YXHBFI.exe.bat

MD5 bf96b8fd6419425f645b5c16227fdcb6
SHA1 208456286c5301e8ee96f8825b66fe825e051b09
SHA256 8ba5abc4a0f175de349b5b5284fc68680b21e479a742f58e9a264e67ef012102
SHA512 afe410888a640c5d19cf841da52cd65bcafb5ea88250ef0da48f8bc8a20709d48014a34d8787464033badd251de2c5a83d504b8fcfa96d427eed2f51d432a09b

C:\windows\SysWOW64\YXHBFI.exe

MD5 2459d592912d897770bc1194bfca3a42
SHA1 66696f79f0776756685a8e55f8810a91fc52bc08
SHA256 477eb7e9deb9e68ee16c9841dbda0bc88fcd91125c2a458551fd195a6a22faf8
SHA512 54369f77701d8549e519843e16af2d70bc274c5bc71ef03be3ca302fa0e608b751696d48be7705bf97ec70552c24a1226c271cbf2f86d99e79f9aa627b58820f

memory/4188-71-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\ZTLFT.exe.bat

MD5 1e40b8e715d6105a5372387035af4051
SHA1 0522ae1e909f096a8d36de7d91f5906a13218702
SHA256 dabfda5833a36a4df558910e38d45b94a57782fa64b2bc5f4855017971252dd5
SHA512 69ff09a6d0ed4756df55fdcf300fe101700cf13a8590359fe29b9e8b15c6d42160091340a9a7074862a21ce4c3477356879759a1cd4b175e600f1ac5f8a8765b

memory/2124-83-0x0000000000400000-0x0000000000439000-memory.dmp

memory/4984-82-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\CJSFFQI.exe.bat

MD5 ec5e022a04786d8f321ff898264c62ad
SHA1 46a5606bd9db93fabea80afc53eb824aad3a4ac8
SHA256 6c82ef7ffc14a77da7250a1fdc94c30cb8cc7970d0187856616dd54b97b6dc47
SHA512 ca63a9465a47dd0dab031e59c45fd280d91eec7a47495aa022ce12b3c039a1b521ab7fc3777f9218fd5a2c0cd55633fb7e4a4fa5b46b9639e03db16b26de53c6

C:\windows\CJSFFQI.exe

MD5 e09e8de932784fff9e9d04c169679f49
SHA1 580ff7ce0557860111928e1b1302ef2536a21d3c
SHA256 7456061670985381fd3e6b3232a7ae912863048e312e2bb13e30128471a7610c
SHA512 f9b1a991021e2fbc461e0f24301f013c4ba9b0c37346ca16ba380a5a1665137aef12c6f033180d8c690bcacd465dc431b1e9d380949e096063cbe44361c4aecb

memory/3172-94-0x0000000000400000-0x0000000000439000-memory.dmp

memory/4188-95-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\SysWOW64\MJUS.exe.bat

MD5 14a8a7ce06522e19d99782e96d9cf791
SHA1 95cdd0f5adb7b06496d65fed7e2a868d67bfedff
SHA256 9475ff784488878cccfc60f9f974c169cc7fa23f1238d0fe1d30d25e1b0a0156
SHA512 5072183d11376f727c06805aad552d4a31d01007ba5b8735f1a0191f909f4317f05741070e70777b2b5829469ff53c5e1c74f6b8aca84d8cafdf00ea43d8ac14

C:\windows\SysWOW64\MJUS.exe

MD5 7d2cb5fb694199e0b74a9662cf8f6ec5
SHA1 dc53a92108967bae43bacd49f581e3063830f052
SHA256 04aad73ffe34bdada8552bf09174da2ac4fa3563274dec5e96a7481770c3c79f
SHA512 8de0c4915b3fbeebac6cd7de2ba2cd1e0651e720973c0f663ebfc425995a9a3655024c7ada7012ea9264d935a84b59c79b1e17e6daf910a109f8ce748bfab32e

memory/3892-106-0x0000000000400000-0x0000000000439000-memory.dmp

memory/4984-107-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3172-114-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\SysWOW64\MMY.exe.bat

MD5 2a7917da99dfcd92e12354bdc7688693
SHA1 2285cdd52f30ea3a1a12a85c564e3aa748e8c753
SHA256 b17cba9f9f1a44aaf8e2d4b3f0424c532726253fa6f7419731cd09c07fb10669
SHA512 8fdab43128980317bd8850befc5f16a00478d908ade493b3b4f311b083020b782f6050f157889ab1a3aab6017f6fe6175231cb041282464a0e8062980508d35f

C:\Windows\SysWOW64\MMY.exe

MD5 7e37c730b9db217a1afb9b00a9915a03
SHA1 74b1b7e6ee9a945058e0a77f323eb12947bdcce3
SHA256 61e7f2deaf86f2bf3c348b24eb40a7a4ef179b8b9e571442c336f851a59f54e2
SHA512 182192e77f9706e8409f24889349f6e256e0ad85f9efa073fc3700102f0fff006e8df7855f881c556827824211b84af4ff7308aec2e118c68847315df4ffe562

memory/1512-119-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\system\MEG.exe.bat

MD5 fc265a581085c546c48dd26c359713e8
SHA1 83610f42aea951cab8fc6bdd5c1472e94ed53935
SHA256 19bfcb019ffc0d4211d4976007efffe8377d6034d57d8fb718cad429fe069ee8
SHA512 f13200fbe83542283d86478c4bb2dcc70c1c0735a822b115aa3def3289470457a5e4392d7dff806f2b644512e13dc34e3281775de7c3f75e1196d31f5eb05a4c

memory/3208-129-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3892-131-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\SysWOW64\PSLZM.exe.bat

MD5 3ab46c3f21fde7cbaa80317f60126082
SHA1 0092c5f07762c4b41448859634e70335bdab7006
SHA256 41035390498b1a4a5f7fc6177a5393e83ead458b84afe74aa370486bf7eaf13f
SHA512 88a37ad89679059eba95e7020cd936a8a2e2630f9e0dfb1f8f366f3e6d4579985b3ed1f21174aa124b29be43c609888b5b1a2dbc5ebf80a56bfe0537ce7df621

C:\Windows\SysWOW64\PSLZM.exe

MD5 e5ac211884b1ef962f0cc3011a79850e
SHA1 4522651b6c3ab943282745168be72038d536cf09
SHA256 17d663c044e59cddb057c84121fec13ec061e97def3200a25ee1b7d9019802ec
SHA512 38066d650828bb1fa1099f0c6d2947f3a5b3289d92152879d22f2acf8801cc7ae4969368bffaa33d658ace25ea06977d0bf8901d00f888ac4f63e5dbe8e5eed8

memory/3572-142-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1512-143-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\AKGRMX.exe.bat

MD5 f061741ee67766c9704980b4aab1d931
SHA1 7e4e5be8806b878b908b341f18e8ce3e412d08f8
SHA256 6aebe995cde0785794e8e9d82c11e4d1915054608707eaa647d3902b9218e2cf
SHA512 6d78158ba4a6ac5ec1100be6f6f2ea70be62f30630404a7ad4da8e96913f766b090a19f69e704d9cefe1826171e4e3d9ac54a950fa3e180ab91aea75c662aeca

C:\Windows\AKGRMX.exe

MD5 aacbedb416b080da4ed03b52345f275a
SHA1 566a7b7cd44f1820f14077e351e695699f192233
SHA256 1cac724762f3cf1f5972189a28ff6b5e5bcd525ba694ca23232d18c0a034d2d3
SHA512 cf568034ab1e4ea680d7ae65d35ba6137ba655cde74d64911eb5cf3e16ca868f5032fc8dd463867f51d59d3b36f892422fb9a87bbc812d57fa036f930050ab93

memory/840-154-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3208-155-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\ESV.exe.bat

MD5 780cf236acd963673a54cfa10dfc12ee
SHA1 352ad62a283ca96c2c33cdf258c8a722a466926e
SHA256 24f11a456f9c017378a744857499295a22313ed1bcb2152d786008ec4af15389
SHA512 04028f08a64e7d47abb0e3b1252901dc372326f978141e4e1e16e529a476ec26d96c3b182addff63facd18ffaf36786b67ca18cf8ca8b3f0e3ca02764598b53a

memory/4772-165-0x0000000000400000-0x0000000000439000-memory.dmp

C:\Windows\ESV.exe

MD5 bd493881430d519207b7d6825f2d45ce
SHA1 c2032ba51b947c7eca80a380ec79da177dd0da22
SHA256 7459850e349833627b0bc80832d19924f839233cf81886776068e77d245990ef
SHA512 df9aa242cfca1b5c3b0ec3f11f89052b0ad291206c9b5e00bc57134bbcb6b884f7a3b540cee7e93e7872ac296c6396d419982684f237a98d50dba084239eba4b

memory/3572-167-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\SysWOW64\BYTOF.exe.bat

MD5 fabc53804881a94847d6cf06ab12e18b
SHA1 3f314b25baef2c3c57f8ee54b98e6f631ebbe688
SHA256 0bd9d613b0b006a7e1a7904b1ecf3c6eafb0405d67fbac1bd2994558ba5011e6
SHA512 1d4b7eca30a5a4e87a48bf872ef56562cb0911196da9d24f462aaf9bc3bef36f4ad15f7b3c7f010e79df0d53945ecfe7a518e1faf6dc3b6ba821e73d1bccf811

memory/532-178-0x0000000000400000-0x0000000000439000-memory.dmp

memory/840-179-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\system\TBWKTOE.exe.bat

MD5 ca0f4a8f8d79d5b8d0e8c76e6d83caed
SHA1 ff8bff45163d6a7e751479a7ae4be8630f8774fe
SHA256 6286ef170223556128d1ab633c0a6f0f5336d09c65a04cccb134cc4b730c47da
SHA512 5fca40d7c3267a6b7fbfd84144b35f94aee3ff8096a5e459bc57ef049a900941aaacd11f0fbaa9e3be02a13f563e2cbc7faa19398422aa24f88cece89efbbb51

C:\windows\system\TBWKTOE.exe

MD5 d9f6f36aefd9bbb7662392dea627cfa0
SHA1 53c95a420cabe3f5d2ada15b410259ab5a29c55a
SHA256 a0aefeee084e77aaf5bdf4c82c5f84ec979ce802b2137d0ef74efb341aad544b
SHA512 5a62825fc97e81a755a7cd338b452ef0a2c7b7402e394b757537bfeaae23a67cb3370b93c472127fa344b04a5f312b9a1b831cb1c509fd79fe315ad73cea6492

memory/1612-190-0x0000000000400000-0x0000000000439000-memory.dmp

memory/4772-191-0x0000000000400000-0x0000000000439000-memory.dmp

memory/532-198-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\SysWOW64\UEAO.exe.bat

MD5 54792db49b33a435f889178b47ab32e9
SHA1 4409924c508eccd51070c3009db012d4ca02f279
SHA256 0f87ebc98b6556d05610a153b8e3ee4f010fe721a522b549103e03dbe08da097
SHA512 300a5b9e1b3d7388ec055a447df56b0be1f2acb2bc00231485d34d3bbc2446ecc75ef4c61372181e2b8632f2cdd73bca67c95ee99154d4a6ce3b2f3e17eb8a8e

C:\Windows\SysWOW64\UEAO.exe

MD5 84acbbc45185ef588a8905aa624d9e1f
SHA1 8a5e03410f9e47095f6392edd1a4d5c07d3c0d71
SHA256 d501b5be1c2e09360b72bf457ff1c5b5c598e40f7a129f4b6f98a14664f33551
SHA512 847343552955e0ff747fcffac03fb13cca989558522eff68c0aa0a9a7297a67073c82ed518f300cf6ffe504841e5b2a0320536ec6488029ec5760d1ffbf9d9ec

memory/1484-203-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\ORFXJ.exe.bat

MD5 b26e7cd36bb91b9637fe9d5cbc25612b
SHA1 616313837bd1f095bcca620706ac5235ebb88b9e
SHA256 2219530505a782aa7edf54427570773713031053cff7f7f2813c233fd55ce87a
SHA512 f70e68d7ba08a3e92a80aeb7b75f03609a7a19f3a915880e3ecedfad99149bf2b841ed7b311441626977e2fe04097b47cc1a3564bb385780b467554a07959fa5

C:\windows\ORFXJ.exe

MD5 08d11b2a56461633e9133327986ca373
SHA1 eb5be6cffe3d6742d683ddfa166fe2fe77583237
SHA256 a0c4bd9eb091409a4a5e7c3d4c82d100f79d3ff2113c0f63d93f32d8749557d9
SHA512 f0dadfea97a5869a3a2ef0f7d3e8872fd93b88e5fa9c5ab8a09c11ca2d202c4b1adcfe77cdf22fcc9df5fd7cafb83643f93863df558f2ca9f21c0e363ecc6496

memory/3652-213-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1612-215-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\system\HURT.exe.bat

MD5 66dbbbb9559ff273e7134558bda872c0
SHA1 6c2e0fe01adf7cbbf452c11552a895b96ca4f69c
SHA256 f50f39986726f64acad6e20d65cd8fd6010c573628fef0fd1b327101bfcbbb29
SHA512 32327d514ec00c76788e3956ba5d7aeee99610d84e5d091a4ee107c2b80c4c1a5e546f1f19e366725194840fcdbdb65d9fdfc826bbe413099ed7deab4bfcc85d

memory/1836-225-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1484-227-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\SysWOW64\ANYM.exe.bat

MD5 a5967031359f36d9e94fcc21efa228f4
SHA1 0b56e8bab0bf594c3015a6bcc66b7c3b86a2b89e
SHA256 20c4c83774a01e76d4db0d64173039470cd290115d7fccfdde4015afabef4a75
SHA512 0bfe382181f14e3c022ed8ded25dd5ade18d798fdca3150307a74fdde9ee5d610978897a19dfc545321f369ab39d57ab6b5867d2c63a933f370a86e4bbf860ed

memory/4708-238-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\SysWOW64\ANYM.exe

MD5 263497e3dd7e060ce3cf7f796642fc73
SHA1 ae068f6a105ddf78578ab82074e347195d32dfc8
SHA256 1d8d142a0b63e780aed0c0085d333a1875b179ab620636568d12576e963c8d10
SHA512 ad219ec9099eedae04b16da6588d9aa939257e913bada93ab6252b9b7a47166b6f423db0650c764688fb32eec964793bc497228dd6ef60b9fde796e1b6e0d187

memory/3652-239-0x0000000000400000-0x0000000000439000-memory.dmp

C:\windows\IIV.exe

MD5 3bc6b7d903e7211ffd424355e0072eb1
SHA1 f291c9e4d7f058678ae47cacd2e1a944564b5e0d
SHA256 7af529f781105bb9348ba6d0297854ff9fbc8383cef3a0bc72adc8298e34a5a1
SHA512 94d63cd1c91fc7d7ec2a4a9ab0c73e152bea7d60a77507a4527597539181ef580b9528048d4f9f927dcb0c44555d4b9c375c348506a2601758d3c289f8269f8a

memory/2212-248-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1836-249-0x0000000000400000-0x0000000000439000-memory.dmp

C:\Windows\SysWOW64\CVAIS.exe

MD5 39e4e0bbbdf6ee66ff29af599dc2dec8
SHA1 e9b3465703973f57d81df26d3880d094cd4645b8
SHA256 5a8dc66582426b401e112ab3dc4800ea6bfa98c7dca17dfc0804a9961e025ec9
SHA512 b89fd6a060ad9c07c08712f19a3d2ef3abac77ebf93f7167834c8f9d4688c8985a3940b5b2734c351d3a47141376e54c826259d84e85c39881085e4dcc6e6d29

C:\windows\SysWOW64\CVAIS.exe.bat

MD5 e3b3d402a6a470687a7376690d232dde
SHA1 871a7f16b0ef1d6308b68834cc6da5687358baf6
SHA256 da82f1ad3d47f36a286063be84929784518e843a547dcf0fef615c2b9c527f9d
SHA512 c3ae3a30044a9c76fa8e3b535fe1dd4706ef67cdfa8ad16479eeb317cb264d978e97ad7b4daf6719bce52fbe47e0f4eedceba7a3888ac545fb98edb195a8c0ad

memory/1684-260-0x0000000000400000-0x0000000000439000-memory.dmp

memory/4708-257-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3916-268-0x0000000000400000-0x0000000000439000-memory.dmp

memory/2212-269-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3008-277-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1684-278-0x0000000000400000-0x0000000000439000-memory.dmp

memory/4348-286-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3916-287-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3008-295-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1196-296-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3624-304-0x0000000000400000-0x0000000000439000-memory.dmp

memory/4348-305-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1196-312-0x0000000000400000-0x0000000000439000-memory.dmp

memory/4376-314-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3624-322-0x0000000000400000-0x0000000000439000-memory.dmp

memory/2876-323-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1992-331-0x0000000000400000-0x0000000000439000-memory.dmp

memory/4376-332-0x0000000000400000-0x0000000000439000-memory.dmp

memory/4916-340-0x0000000000400000-0x0000000000439000-memory.dmp

memory/2876-341-0x0000000000400000-0x0000000000439000-memory.dmp

memory/932-349-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1992-350-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3580-358-0x0000000000400000-0x0000000000439000-memory.dmp

memory/4916-359-0x0000000000400000-0x0000000000439000-memory.dmp

memory/932-366-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3828-368-0x0000000000400000-0x0000000000439000-memory.dmp

memory/2652-376-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3580-377-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3012-385-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3828-386-0x0000000000400000-0x0000000000439000-memory.dmp

memory/4352-394-0x0000000000400000-0x0000000000439000-memory.dmp

memory/2652-395-0x0000000000400000-0x0000000000439000-memory.dmp

memory/4368-403-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3012-404-0x0000000000400000-0x0000000000439000-memory.dmp

memory/4352-411-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3036-413-0x0000000000400000-0x0000000000439000-memory.dmp

memory/4368-421-0x0000000000400000-0x0000000000439000-memory.dmp

memory/2628-422-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3036-429-0x0000000000400000-0x0000000000439000-memory.dmp

memory/668-431-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1048-439-0x0000000000400000-0x0000000000439000-memory.dmp

memory/2628-440-0x0000000000400000-0x0000000000439000-memory.dmp

memory/4284-448-0x0000000000400000-0x0000000000439000-memory.dmp

memory/668-449-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1192-457-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1048-458-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3400-466-0x0000000000400000-0x0000000000439000-memory.dmp

memory/4284-467-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1248-475-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1192-476-0x0000000000400000-0x0000000000439000-memory.dmp

memory/3400-484-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1580-485-0x0000000000400000-0x0000000000439000-memory.dmp

memory/1248-492-0x0000000000400000-0x0000000000439000-memory.dmp

memory/4644-494-0x0000000000400000-0x0000000000439000-memory.dmp