ardamax | f619e625c73d1cdb069792c0d582cc206e7d7f009de1b4268918c437f1fabeea

Analysis

max time kernel
5s
max time network
154s
platform
windows10-2004_x64
resource
win10v2004-20241007-en
resource tags

arch:x64arch:x86image:win10v2004-20241007-enlocale:en-usos:windows10-2004-x64system
submitted
29-10-2024 02:44

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

7b8ab805d1f05e438993fd4f25b60827_JaffaCakes118.exe
Size

1.2MB
MD5

7b8ab805d1f05e438993fd4f25b60827
SHA1

988f6c403a8981b23782ba92e6da9636383e8a6d
SHA256

f619e625c73d1cdb069792c0d582cc206e7d7f009de1b4268918c437f1fabeea
SHA512

500d6101c8d308327e026d1dd68f7188ff6fec9f54a406b11cefb8e2e9f9def838747553bf4c7011e83650d2862281c0088dbede7593b0001d32fa1e900ea3e0
SSDEEP

24576:UW8dHfxwJKzOghaOactYnBwkiXhz/k00c96j5xUwDVR+LNwsdpn:UW8NYdgh6elkRSQ5lDVsLNxT

Score

10^/10

ardamax discovery keylogger stealer

Malware Config

Signatures

Ardamax
A keylogger first seen in 2013.
keylogger stealer ardamax
Ardamax family
ardamax

Ardamax main executable 2 IoCs

resource	yara_rule
behavioral2/files/0x000a000000023b80-22.dat	family_ardamax
behavioral2/files/0x000c000000023b7a-61.dat	family_ardamax

Checks computer location settings 2 TTPs 8 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	loader.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	loader.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	loader.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	loader.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	loader.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	7b8ab805d1f05e438993fd4f25b60827_JaffaCakes118.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	loader.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	loader.exe

Executes dropped EXE 14 IoCs

pid	Process
3148	loader.exe
3508	EGAF.exe
1284	loader.exe
1068	EGAF.exe
4452	loader.exe
4756	EGAF.exe
212	loader.exe
1644	EGAF.exe
2820	loader.exe
2532	EGAF.exe
1004	loader.exe
852	EGAF.exe
2632	loader.exe
4752	EGAF.exe

Loads dropped DLL 7 IoCs

pid	Process
3148	loader.exe
1284	loader.exe
4452	loader.exe
212	loader.exe
2820	loader.exe
1004	loader.exe
2632	loader.exe

Drops file in System32 directory 42 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\28463\EGAF.007	loader.exe
File created	C:\Windows\SysWOW64\28463\EGAF.007	loader.exe
File created	C:\Windows\SysWOW64\28463\AKV.exe	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\AKV.exe	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\EGAF.001	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\EGAF.007	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\AKV.exe	loader.exe
File created	C:\Windows\SysWOW64\28463\EGAF.exe	loader.exe
File created	C:\Windows\SysWOW64\28463\EGAF.exe	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\key.bin	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\EGAF.006	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\EGAF.001	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\AKV.exe	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\EGAF.007	loader.exe
File created	C:\Windows\SysWOW64\28463\EGAF.exe	loader.exe
File created	C:\Windows\SysWOW64\28463\EGAF.006	loader.exe
File created	C:\Windows\SysWOW64\28463\EGAF.exe	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\AKV.exe	loader.exe
File created	C:\Windows\SysWOW64\28463\EGAF.exe	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\key.bin	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\AKV.exe	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\key.bin	loader.exe
File created	C:\Windows\SysWOW64\28463\EGAF.001	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\key.bin	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\EGAF.001	loader.exe
File created	C:\Windows\SysWOW64\28463\EGAF.exe	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\EGAF.006	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\EGAF.006	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\EGAF.007	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\EGAF.006	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\EGAF.007	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\EGAF.006	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\AKV.exe	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\EGAF.007	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\EGAF.006	loader.exe
File created	C:\Windows\SysWOW64\28463\EGAF.exe	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\key.bin	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\EGAF.001	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\EGAF.001	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\EGAF.001	loader.exe
File opened for modification	C:\Windows\SysWOW64\28463\key.bin	loader.exe
File created	C:\Windows\SysWOW64\28463\key.bin	loader.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Program crash 64 IoCs

pid	pid_target	Process	procid_target
4736	3508	WerFault.exe	85
2908	4464	WerFault.exe	110
2964	3772	WerFault.exe	116
4140	4848	WerFault.exe	128
3960	4312	WerFault.exe	138
2124	3296	WerFault.exe	151
2188	4824	WerFault.exe	157
2280	4940	WerFault.exe	163
3020	1660	WerFault.exe	169
2456	3800	WerFault.exe	175
3980	2848	WerFault.exe	181
1496	4948	WerFault.exe	193
3200	784	WerFault.exe	199
2244	3060	WerFault.exe	207
3076	1524	WerFault.exe	217
1976	900	WerFault.exe	223
2680	64	WerFault.exe	233
5040	2868	WerFault.exe	243
1336	2924	WerFault.exe	249
4152	4552	WerFault.exe	260
4680	956	WerFault.exe	270
1976	4804	WerFault.exe	276
2576	4472	WerFault.exe	286
4992	4316	WerFault.exe	292
3364	5020	WerFault.exe	299
3432	2924	WerFault.exe	308
1648	3784	WerFault.exe	318
3972	3440	WerFault.exe	325
2848	1948	WerFault.exe	335
2360	3504	WerFault.exe	343
4144	956	WerFault.exe	349
3432	1284	WerFault.exe	359
4260	3268	WerFault.exe	365
2960	1776	WerFault.exe	375
4348	2180	WerFault.exe	381
1548	1440	WerFault.exe	387
4968	548	WerFault.exe	393
3100	900	WerFault.exe	403
1740	2180	WerFault.exe	413
2000	4404	WerFault.exe	424
3652	956	WerFault.exe	437
3568	3784	WerFault.exe	447
1776	2672	WerFault.exe	453
4960	820	WerFault.exe	459
4804	996	WerFault.exe	465
5104	3056	WerFault.exe	473
900	1240	WerFault.exe	481
1248	4472	WerFault.exe	489
5104	1660	WerFault.exe	498
1560	4832	WerFault.exe	508
372	4472	WerFault.exe	518
428	2244	WerFault.exe	524
1936	1524	WerFault.exe	535
4260	692	WerFault.exe	545
3884	2212	WerFault.exe	555
1364	4684	WerFault.exe	561
3060	3840	WerFault.exe	567
1376	2936	WerFault.exe	577
468	1068	WerFault.exe	583
3628	1060	WerFault.exe	593
1748	4168	WerFault.exe	599
3980	412	WerFault.exe	609
3052	1936	WerFault.exe	619
2000	2488	WerFault.exe	625

System Location Discovery: System Language Discovery 1 TTPs 14 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	loader.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	loader.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	EGAF.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	loader.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	loader.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	7b8ab805d1f05e438993fd4f25b60827_JaffaCakes118.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	EGAF.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	loader.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	EGAF.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	loader.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	EGAF.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	EGAF.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	EGAF.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	loader.exe

Modifies registry class 44 IoCs

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.4\FLAGS\ = "0"	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.0\ = "System_EnterpriseServices"	EGAF.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.0\0\win32	EGAF.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.4	EGAF.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.4\FLAGS	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.4\0\win32\ = "C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\System.EnterpriseServices.tlb"	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.4\0\win64\	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{9A3D3B78-4F52-4837-FCA5-E80EF688AD38}\TypeLib\ = "{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}"	EGAF.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{9A3D3B78-4F52-4837-FCA5-E80EF688AD38}	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{9A3D3B78-4F52-4837-FCA5-E80EF688AD38}\LocalServer32\ = "\"C:\\Users\\Admin\\AppData\\Local\\Microsoft\\OneDrive\\21.220.1024.0005\\Microsoft.SharePoint.exe\""	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.0\	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.0\FLAGS\ = "0"	EGAF.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.4\0	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.4\0\	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{9A3D3B78-4F52-4837-FCA5-E80EF688AD38}\TypeLib\	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{9A3D3B78-4F52-4837-FCA5-E80EF688AD38}\ = "Ecora"	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{9A3D3B78-4F52-4837-FCA5-E80EF688AD38}\ProgID\	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.4\	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.4\ = "System_EnterpriseServices"	EGAF.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{9A3D3B78-4F52-4837-FCA5-E80EF688AD38}\TypeLib	EGAF.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{9A3D3B78-4F52-4837-FCA5-E80EF688AD38}\VersionIndependentProgID	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{9A3D3B78-4F52-4837-FCA5-E80EF688AD38}\LocalServer32\	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{9A3D3B78-4F52-4837-FCA5-E80EF688AD38}\ProgID\ = "NucleusToastActivator.NucleusToastActivator.1"	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.0\FLAGS\	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.4\FLAGS\	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.0\0\win64\	EGAF.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.0\FLAGS	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{9A3D3B78-4F52-4837-FCA5-E80EF688AD38}\VersionIndependentProgID\ = "NucleusToastActivator.NucleusToastActivator"	EGAF.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{9A3D3B78-4F52-4837-FCA5-E80EF688AD38}\LocalServer32	EGAF.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{9A3D3B78-4F52-4837-FCA5-E80EF688AD38}\ProgID	EGAF.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.0\0	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.0\0\win32\	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.4\0\win64\ = "C:\\Windows\\Microsoft.NET\\Framework64\\v4.0.30319\\System.EnterpriseServices.tlb"	EGAF.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}	EGAF.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.0	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.0\0\win64\ = "C:\\Windows\\Microsoft.NET\\Framework64\\v2.0.50727\\System.EnterpriseServices.tlb"	EGAF.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.4\0\win64	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.0\0\	EGAF.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.4\0\win32	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.4\0\win32\	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.0\0\win32\ = "C:\\Windows\\Microsoft.NET\\Framework\\v2.0.50727\\System.EnterpriseServices.tlb"	EGAF.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\TypeLib\{400791EF-D1FF-CA78-7B25-DEF182C1EE7B}\2.0\0\win64	EGAF.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{9A3D3B78-4F52-4837-FCA5-E80EF688AD38}\VersionIndependentProgID\	EGAF.exe

Suspicious use of WriteProcessMemory 42 IoCs

description	pid	Process	procid_target
PID 1420 wrote to memory of 3148	1420	7b8ab805d1f05e438993fd4f25b60827_JaffaCakes118.exe	83
PID 1420 wrote to memory of 3148	1420	7b8ab805d1f05e438993fd4f25b60827_JaffaCakes118.exe	83
PID 1420 wrote to memory of 3148	1420	7b8ab805d1f05e438993fd4f25b60827_JaffaCakes118.exe	83
PID 3148 wrote to memory of 3508	3148	loader.exe	85
PID 3148 wrote to memory of 3508	3148	loader.exe	85
PID 3148 wrote to memory of 3508	3148	loader.exe	85
PID 3148 wrote to memory of 1284	3148	loader.exe	86
PID 3148 wrote to memory of 1284	3148	loader.exe	86
PID 3148 wrote to memory of 1284	3148	loader.exe	86
PID 1284 wrote to memory of 1068	1284	loader.exe	87
PID 1284 wrote to memory of 1068	1284	loader.exe	87
PID 1284 wrote to memory of 1068	1284	loader.exe	87
PID 1284 wrote to memory of 4452	1284	loader.exe	117
PID 1284 wrote to memory of 4452	1284	loader.exe	117
PID 1284 wrote to memory of 4452	1284	loader.exe	117
PID 4452 wrote to memory of 4756	4452	loader.exe	322
PID 4452 wrote to memory of 4756	4452	loader.exe	322
PID 4452 wrote to memory of 4756	4452	loader.exe	322
PID 4452 wrote to memory of 212	4452	loader.exe	90
PID 4452 wrote to memory of 212	4452	loader.exe	90
PID 4452 wrote to memory of 212	4452	loader.exe	90
PID 212 wrote to memory of 1644	212	loader.exe	91
PID 212 wrote to memory of 1644	212	loader.exe	91
PID 212 wrote to memory of 1644	212	loader.exe	91
PID 212 wrote to memory of 2820	212	loader.exe	240
PID 212 wrote to memory of 2820	212	loader.exe	240
PID 212 wrote to memory of 2820	212	loader.exe	240
PID 2820 wrote to memory of 2532	2820	loader.exe	94
PID 2820 wrote to memory of 2532	2820	loader.exe	94
PID 2820 wrote to memory of 2532	2820	loader.exe	94
PID 2820 wrote to memory of 1004	2820	loader.exe	95
PID 2820 wrote to memory of 1004	2820	loader.exe	95
PID 2820 wrote to memory of 1004	2820	loader.exe	95
PID 1004 wrote to memory of 852	1004	loader.exe	517
PID 1004 wrote to memory of 852	1004	loader.exe	517
PID 1004 wrote to memory of 852	1004	loader.exe	517
PID 1004 wrote to memory of 2632	1004	loader.exe	97
PID 1004 wrote to memory of 2632	1004	loader.exe	97
PID 1004 wrote to memory of 2632	1004	loader.exe	97
PID 2632 wrote to memory of 4752	2632	loader.exe	1696
PID 2632 wrote to memory of 4752	2632	loader.exe	1696
PID 2632 wrote to memory of 4752	2632	loader.exe	1696

C:\Users\Admin\AppData\Local\Temp\7b8ab805d1f05e438993fd4f25b60827_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\7b8ab805d1f05e438993fd4f25b60827_JaffaCakes118.exe"
1⤵
- Checks computer location settings
- System Location Discovery: System Language Discovery
- Suspicious use of WriteProcessMemory
PID:1420
- C:\Users\Admin\AppData\Local\Temp\loader.exe
  "C:\Users\Admin\AppData\Local\Temp\loader.exe"
  2⤵
  - Checks computer location settings
  - Executes dropped EXE
  - Loads dropped DLL
  - Drops file in System32 directory
  - System Location Discovery: System Language Discovery
  - Suspicious use of WriteProcessMemory
  PID:3148
- - C:\Windows\SysWOW64\28463\EGAF.exe
    "C:\Windows\system32\28463\EGAF.exe"
    3⤵
    - Executes dropped EXE
    - System Location Discovery: System Language Discovery
    - Modifies registry class
    PID:3508
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3508 -s 804
      4⤵
      Program crash
      PID:4736
- - C:\Users\Admin\AppData\Local\Temp\loader.exe
    "C:\Users\Admin\AppData\Local\Temp\loader.exe"
    3⤵
    - Checks computer location settings
    - Executes dropped EXE
    - Loads dropped DLL
    - Drops file in System32 directory
    - System Location Discovery: System Language Discovery
    - Suspicious use of WriteProcessMemory
    PID:1284
  - - C:\Windows\SysWOW64\28463\EGAF.exe
      "C:\Windows\system32\28463\EGAF.exe"
      4⤵
      Executes dropped EXE
      System Location Discovery: System Language Discovery
      PID:1068
  - - C:\Users\Admin\AppData\Local\Temp\loader.exe
      "C:\Users\Admin\AppData\Local\Temp\loader.exe"
      4⤵
      Checks computer location settings
      Executes dropped EXE
      Loads dropped DLL
      Drops file in System32 directory
      System Location Discovery: System Language Discovery
      Suspicious use of WriteProcessMemory
      PID:4452
    - - C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:4756
    - - C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        5⤵
        Checks computer location settings
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:212
      - C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        6⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:1644
      - C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        6⤵
        Checks computer location settings
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:2820
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        7⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:2532
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        7⤵
        Checks computer location settings
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:1004
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        8⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:852
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        8⤵
        Checks computer location settings
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:2632
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        9⤵
        Executes dropped EXE
        
        PID:4752
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        9⤵
        
        PID:2512
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        10⤵
        
        PID:2960
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        10⤵
        
        PID:4728
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        11⤵
        
        PID:2000
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        11⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        12⤵
        
        PID:3584
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        12⤵
        
        PID:3604
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        13⤵
        
        PID:4464
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4464 -s 808
        14⤵
        Program crash
        
        PID:2908
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        13⤵
        
        PID:3256
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        14⤵
        
        PID:3272
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        14⤵
        
        PID:1168
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        15⤵
        
        PID:3772
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3772 -s 796
        16⤵
        Program crash
        
        PID:2964
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        15⤵
        
        PID:4452
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        16⤵
        
        PID:1064
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        16⤵
        
        PID:4152
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        17⤵
        
        PID:2820
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        17⤵
        
        PID:4992
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        18⤵
        
        PID:3980
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        18⤵
        
        PID:4788
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        19⤵
        
        PID:1776
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        19⤵
        
        PID:3352
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        20⤵
        
        PID:4848
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4848 -s 812
        21⤵
        Program crash
        
        PID:4140
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        20⤵
        
        PID:1288
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        21⤵
        
        PID:4940
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        21⤵
        
        PID:3708
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        22⤵
        
        PID:716
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        22⤵
        
        PID:4480
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        23⤵
        
        PID:3348
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        23⤵
        
        PID:2052
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        24⤵
        
        PID:4312
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4312 -s 808
        25⤵
        Program crash
        
        PID:3960
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        24⤵
        
        PID:608
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        25⤵
        
        PID:1180
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        25⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        26⤵
        
        PID:2876
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        26⤵
        
        PID:4556
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        27⤵
        
        PID:2544
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        27⤵
        
        PID:4892
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        28⤵
        
        PID:4932
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        28⤵
        
        PID:1936
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        29⤵
        
        PID:3296
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3296 -s 796
        30⤵
        Program crash
        
        PID:2124
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        29⤵
        
        PID:4732
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        30⤵
        
        PID:4744
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        30⤵
        
        PID:2092
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        31⤵
        
        PID:4824
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4824 -s 792
        32⤵
        Program crash
        
        PID:2188
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        31⤵
        
        PID:1376
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        32⤵
        
        PID:5048
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        32⤵
        
        PID:2804
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        33⤵
        
        PID:4940
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4940 -s 796
        34⤵
        Program crash
        
        PID:2280
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        33⤵
        
        PID:2704
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        34⤵
        
        PID:3940
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        34⤵
        
        PID:4360
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        35⤵
        
        PID:1660
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1660 -s 808
        36⤵
        Program crash
        
        PID:3020
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        35⤵
        
        PID:3172
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        36⤵
        
        PID:1896
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        36⤵
        
        PID:1180
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        37⤵
        
        PID:3800
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3800 -s 816
        38⤵
        Program crash
        
        PID:2456
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        37⤵
        
        PID:3272
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        38⤵
        
        PID:2908
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        38⤵
        
        PID:4912
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        39⤵
        
        PID:2848
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2848 -s 776
        40⤵
        Program crash
        
        PID:3980
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        39⤵
        
        PID:3884
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        40⤵
        
        PID:2064
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        40⤵
        
        PID:3868
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        41⤵
        
        PID:972
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        41⤵
        
        PID:916
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        42⤵
        
        PID:4724
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        42⤵
        
        PID:1776
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        43⤵
        
        PID:4948
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4948 -s 788
        44⤵
        Program crash
        
        PID:1496
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        43⤵
        
        PID:440
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        44⤵
        
        PID:3972
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        44⤵
        
        PID:3388
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        45⤵
        
        PID:784
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 784 -s 800
        46⤵
        Program crash
        
        PID:3200
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        45⤵
        
        PID:2228
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        46⤵
        
        PID:2052
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        46⤵
        
        PID:1048
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        47⤵
        
        PID:3060
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3060 -s 832
        48⤵
        Program crash
        
        PID:2244
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        47⤵
        
        PID:3960
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        48⤵
        
        PID:4404
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        48⤵
        
        PID:3256
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        49⤵
        
        PID:1936
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        49⤵
        
        PID:3628
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        50⤵
        
        PID:3416
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        50⤵
        
        PID:2308
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        51⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1524 -s 776
        52⤵
        Program crash
        
        PID:3076
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        51⤵
        
        PID:2556
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        52⤵
        
        PID:2788
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        52⤵
        
        PID:2924
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        53⤵
        
        PID:900
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 900 -s 812
        54⤵
        Program crash
        
        PID:1976
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        53⤵
        
        PID:4804
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        54⤵
        
        PID:692
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        54⤵
        
        PID:1068
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        55⤵
        
        PID:1336
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        55⤵
        
        PID:4348
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        56⤵
        
        PID:1316
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        56⤵
        
        PID:4636
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        57⤵
        
        PID:64
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 64 -s 764
        58⤵
        Program crash
        
        PID:2680
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        57⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        58⤵
        
        PID:4356
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        58⤵
        
        PID:1284
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        59⤵
        
        PID:1936
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        59⤵
        
        PID:2820
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        60⤵
        
        PID:3508
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        60⤵
        
        PID:3548
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        61⤵
        
        PID:2868
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2868 -s 796
        62⤵
        Program crash
        
        PID:5040
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        61⤵
        
        PID:4724
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        62⤵
        
        PID:1776
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        62⤵
        
        PID:5012
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        63⤵
        
        PID:2924
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2924 -s 792
        64⤵
        Program crash
        
        PID:1336
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        63⤵
        
        PID:856
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        64⤵
        
        PID:692
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        64⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        65⤵
        
        PID:2052
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        65⤵
        
        PID:4328
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        66⤵
        
        PID:5008
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        66⤵
        
        PID:4556
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        67⤵
        
        PID:4552
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 804
        68⤵
        Program crash
        
        PID:4152
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        67⤵
        
        PID:3272
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        68⤵
        
        PID:3660
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        68⤵
        
        PID:1548
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        69⤵
        
        PID:3296
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        69⤵
        
        PID:3884
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        70⤵
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        70⤵
        
        PID:1748
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        71⤵
        
        PID:956
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 824
        72⤵
        Program crash
        
        PID:4680
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        71⤵
        
        PID:2788
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        72⤵
        
        PID:404
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        72⤵
        
        PID:3780
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        73⤵
        
        PID:4804
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4804 -s 828
        74⤵
        Program crash
        
        PID:1976
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        73⤵
        
        PID:4968
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        74⤵
        
        PID:5060
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        74⤵
        
        PID:4480
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        75⤵
        
        PID:1660
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        75⤵
        
        PID:3100
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        76⤵
        
        PID:2960
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        76⤵
        
        PID:1364
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        77⤵
        
        PID:4472
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4472 -s 768
        78⤵
        Program crash
        
        PID:2576
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        77⤵
        
        PID:3800
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        78⤵
        
        PID:2124
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        78⤵
        
        PID:2572
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        79⤵
        
        PID:4316
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4316 -s 800
        80⤵
        Program crash
        
        PID:4992
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        79⤵
        
        PID:3532
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        80⤵
        
        PID:3548
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        80⤵
        
        PID:2284
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        81⤵
        
        PID:5020
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 5020 -s 808
        82⤵
        Program crash
        
        PID:3364
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        81⤵
        
        PID:5040
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        82⤵
        
        PID:2840
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        82⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        83⤵
        
        PID:4952
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        83⤵
        
        PID:1048
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        84⤵
        
        PID:2924
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2924 -s 804
        85⤵
        Program crash
        
        PID:3432
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        84⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        85⤵
        
        PID:3292
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        85⤵
        
        PID:1828
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        86⤵
        
        PID:1756
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        86⤵
        
        PID:4956
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        87⤵
        
        PID:916
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        87⤵
        
        PID:2680
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        88⤵
        
        PID:3784
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3784 -s 756
        89⤵
        Program crash
        
        PID:1648
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        88⤵
        
        PID:3456
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        89⤵
        
        PID:4756
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        89⤵
        
        PID:1776
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        90⤵
        
        PID:3440
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3440 -s 816
        91⤵
        Program crash
        
        PID:3972
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        90⤵
        
        PID:692
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        91⤵
        
        PID:3960
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        91⤵
        
        PID:4952
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        92⤵
        
        PID:5052
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        92⤵
        
        PID:2412
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        93⤵
        
        PID:5108
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        93⤵
        
        PID:4116
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        94⤵
        
        PID:1948
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1948 -s 824
        95⤵
        Program crash
        
        PID:2848
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        94⤵
        
        PID:972
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        95⤵
        
        PID:64
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        95⤵
        
        PID:3948
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        96⤵
        
        PID:536
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        96⤵
        
        PID:1840
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        97⤵
        
        PID:3504
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3504 -s 796
        98⤵
        Program crash
        
        PID:2360
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        97⤵
        
        PID:4948
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        98⤵
        
        PID:3568
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        98⤵
        
        PID:3068
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        99⤵
        
        PID:956
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 812
        100⤵
        Program crash
        
        PID:4144
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        99⤵
        
        PID:3640
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        100⤵
        
        PID:3960
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        100⤵
        
        PID:3964
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        101⤵
        
        PID:1048
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        101⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        102⤵
        
        PID:3972
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        102⤵
        
        PID:4548
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        103⤵
        
        PID:1284
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1284 -s 808
        104⤵
        Program crash
        
        PID:3432
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        103⤵
        
        PID:1752
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        104⤵
        
        PID:3256
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        104⤵
        
        PID:2572
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        105⤵
        
        PID:3268
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3268 -s 788
        106⤵
        Program crash
        
        PID:4260
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        105⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        106⤵
        
        PID:4060
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        106⤵
        
        PID:4784
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        107⤵
        
        PID:1720
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        107⤵
        
        PID:4752
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        108⤵
        
        PID:1996
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        108⤵
        
        PID:5104
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        109⤵
        
        PID:1776
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1776 -s 816
        110⤵
        Program crash
        
        PID:2960
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        109⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        110⤵
        
        PID:2496
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        110⤵
        
        PID:1496
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        111⤵
        
        PID:2180
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2180 -s 756
        112⤵
        Program crash
        
        PID:4348
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        111⤵
        
        PID:2392
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        112⤵
        
        PID:1788
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        112⤵
        
        PID:4472
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        113⤵
        
        PID:1440
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1440 -s 808
        114⤵
        Program crash
        
        PID:1548
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        113⤵
        
        PID:2400
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        114⤵
        
        PID:4804
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        114⤵
        
        PID:1628
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        115⤵
        
        PID:548
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 548 -s 824
        116⤵
        Program crash
        
        PID:4968
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        115⤵
        
        PID:4312
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        116⤵
        
        PID:1560
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        116⤵
        
        PID:1108
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        117⤵
        
        PID:4360
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        117⤵
        
        PID:4816
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        118⤵
        
        PID:3428
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        118⤵
        
        PID:3360
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        119⤵
        
        PID:900
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 900 -s 824
        120⤵
        Program crash
        
        PID:3100
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        119⤵
        
        PID:608
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        120⤵
        
        PID:4168
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        120⤵
        
        PID:1104
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        121⤵
        
        PID:1496
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        121⤵
        
        PID:1336
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        122⤵
        
        PID:2320
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        122⤵
        
        PID:1060
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        123⤵
        
        PID:2180
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2180 -s 812
        124⤵
        Program crash
        
        PID:1740
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        123⤵
        
        PID:312
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        124⤵
        
        PID:4116
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        124⤵
        
        PID:1088
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        125⤵
        
        PID:4756
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        125⤵
        
        PID:1160
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        126⤵
        
        PID:2288
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        126⤵
        
        PID:2248
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        127⤵
        
        PID:4404
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4404 -s 780
        128⤵
        Program crash
        
        PID:2000
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        127⤵
        
        PID:404
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        128⤵
        
        PID:4260
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        128⤵
        
        PID:5104
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        129⤵
        
        PID:4708
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        129⤵
        
        PID:4308
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        130⤵
        
        PID:5052
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        130⤵
        
        PID:820
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        131⤵
        
        PID:3440
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        131⤵
        
        PID:2120
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        132⤵
        
        PID:956
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 820
        133⤵
        Program crash
        
        PID:3652
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        132⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        133⤵
        
        PID:4472
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        133⤵
        
        PID:3180
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        134⤵
        
        PID:2176
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        134⤵
        
        PID:432
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        135⤵
        
        PID:536
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        135⤵
        
        PID:4992
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        136⤵
        
        PID:3784
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3784 -s 808
        137⤵
        Program crash
        
        PID:3568
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        136⤵
        
        PID:3548
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        137⤵
        
        PID:4360
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        137⤵
        
        PID:372
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        138⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2672 -s 760
        139⤵
        Program crash
        
        PID:1776
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        138⤵
        
        PID:3428
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        139⤵
        
        PID:2720
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        139⤵
        
        PID:3624
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        140⤵
        
        PID:820
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 820 -s 796
        141⤵
        Program crash
        
        PID:4960
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        140⤵
        
        PID:2544
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        141⤵
        
        PID:3444
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        141⤵
        
        PID:3256
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        142⤵
        
        PID:996
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 996 -s 820
        143⤵
        Program crash
        
        PID:4804
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        142⤵
        
        PID:752
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        143⤵
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        143⤵
        
        PID:412
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        144⤵
        
        PID:3484
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        144⤵
        
        PID:4784
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        145⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3056 -s 816
        146⤵
        Program crash
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        145⤵
        
        PID:1124
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        146⤵
        
        PID:2556
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        146⤵
        
        PID:3568
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        147⤵
        
        PID:2108
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        147⤵
        
        PID:3964
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        148⤵
        
        PID:1240
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1240 -s 812
        149⤵
        Program crash
        
        PID:900
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        148⤵
        
        PID:3292
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        149⤵
        
        PID:4984
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        149⤵
        
        PID:3884
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        150⤵
        
        PID:4332
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        150⤵
        
        PID:4944
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        151⤵
        
        PID:4472
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4472 -s 764
        152⤵
        Program crash
        
        PID:1248
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        151⤵
        
        PID:3432
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        152⤵
        
        PID:5048
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        152⤵
        
        PID:3604
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        153⤵
        
        PID:852
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        153⤵
        
        PID:3668
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        154⤵
        
        PID:1660
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1660 -s 740
        155⤵
        Program crash
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        154⤵
        
        PID:1392
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        155⤵
        
        PID:608
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        155⤵
        
        PID:5020
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        156⤵
        
        PID:3548
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        156⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        157⤵
        
        PID:4468
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        157⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        158⤵
        
        PID:4832
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4832 -s 792
        159⤵
        Program crash
        
        PID:1560
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        158⤵
        
        PID:3884
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        159⤵
        
        PID:1240
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        159⤵
        
        PID:3396
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        160⤵
        
        PID:5048
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        160⤵
        
        PID:4328
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        161⤵
        
        PID:2320
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        161⤵
        
        PID:852
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        162⤵
        
        PID:4472
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4472 -s 816
        163⤵
        Program crash
        
        PID:372
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        162⤵
        
        PID:1896
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        163⤵
        
        PID:2556
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        163⤵
        
        PID:5060
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        164⤵
        
        PID:2244
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2244 -s 804
        165⤵
        Program crash
        
        PID:428
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        164⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        165⤵
        
        PID:2272
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        165⤵
        
        PID:2212
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        166⤵
        
        PID:2344
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        166⤵
        
        PID:1676
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        167⤵
        
        PID:1240
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        167⤵
        
        PID:640
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        168⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1524 -s 828
        169⤵
        Program crash
        
        PID:1936
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        168⤵
        
        PID:3396
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        169⤵
        
        PID:2840
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        169⤵
        
        PID:2516
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        170⤵
        
        PID:4312
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        170⤵
        
        PID:2768
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        171⤵
        
        PID:3040
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        171⤵
        
        PID:3800
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        172⤵
        
        PID:692
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 692 -s 808
        173⤵
        Program crash
        
        PID:4260
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        172⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        173⤵
        
        PID:4324
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        173⤵
        
        PID:4708
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        174⤵
        
        PID:3964
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        174⤵
        
        PID:3624
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        175⤵
        
        PID:4996
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        175⤵
        
        PID:2236
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        176⤵
        
        PID:2212
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2212 -s 808
        177⤵
        Program crash
        
        PID:3884
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        176⤵
        
        PID:5112
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        177⤵
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        177⤵
        
        PID:4308
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        178⤵
        
        PID:4684
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4684 -s 796
        179⤵
        Program crash
        
        PID:1364
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        178⤵
        
        PID:1064
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        179⤵
        
        PID:4908
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        179⤵
        
        PID:3816
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        180⤵
        
        PID:3840
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3840 -s 812
        181⤵
        Program crash
        
        PID:3060
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        180⤵
        
        PID:432
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        181⤵
        
        PID:800
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        181⤵
        
        PID:4724
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        182⤵
        
        PID:1128
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        182⤵
        
        PID:4324
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        183⤵
        
        PID:4984
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        183⤵
        
        PID:1648
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        184⤵
        
        PID:2936
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2936 -s 784
        185⤵
        Program crash
        
        PID:1376
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        184⤵
        
        PID:4260
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        185⤵
        
        PID:860
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        185⤵
        
        PID:4636
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        186⤵
        
        PID:1068
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1068 -s 816
        187⤵
        Program crash
        
        PID:468
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        186⤵
        
        PID:3256
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        187⤵
        
        PID:2528
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        187⤵
        
        PID:640
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        188⤵
        
        PID:1124
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        188⤵
        
        PID:4992
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        189⤵
        
        PID:1372
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        189⤵
        
        PID:3708
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        190⤵
        
        PID:1060
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1060 -s 832
        191⤵
        Program crash
        
        PID:3628
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        190⤵
        
        PID:1248
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        191⤵
        
        PID:5108
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        191⤵
        
        PID:3960
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        192⤵
        
        PID:4168
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4168 -s 808
        193⤵
        Program crash
        
        PID:1748
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        192⤵
        
        PID:4324
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        193⤵
        
        PID:4984
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        193⤵
        
        PID:1284
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        194⤵
        
        PID:4332
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        194⤵
        
        PID:4944
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        195⤵
        
        PID:1548
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        195⤵
        
        PID:900
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        196⤵
        
        PID:412
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 412 -s 824
        197⤵
        Program crash
        
        PID:3980
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        196⤵
        
        PID:752
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        197⤵
        
        PID:4756
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        197⤵
        
        PID:2084
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        198⤵
        
        PID:4852
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        198⤵
        
        PID:2848
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        199⤵
        
        PID:4992
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        199⤵
        
        PID:3100
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        200⤵
        
        PID:1936
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1936 -s 784
        201⤵
        Program crash
        
        PID:3052
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        200⤵
        
        PID:3800
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        201⤵
        
        PID:4752
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        201⤵
        
        PID:2360
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        202⤵
        
        PID:2488
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2488 -s 812
        203⤵
        Program crash
        
        PID:2000
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        202⤵
        
        PID:4956
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        203⤵
        
        PID:4996
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        203⤵
        
        PID:2256
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        204⤵
        
        PID:2400
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2400 -s 812
        205⤵
        
        PID:2248
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        204⤵
        
        PID:1276
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        205⤵
        
        PID:4636
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        205⤵
        
        PID:1752
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        206⤵
        
        PID:2296
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2296 -s 796
        207⤵
        
        PID:3040
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        206⤵
        
        PID:312
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        207⤵
        
        PID:640
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        207⤵
        
        PID:1124
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        208⤵
        
        PID:468
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 468 -s 812
        209⤵
        
        PID:1540
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        208⤵
        
        PID:2768
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        209⤵
        
        PID:3100
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        209⤵
        
        PID:3548
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        210⤵
        
        PID:4932
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4932 -s 812
        211⤵
        
        PID:4044
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        210⤵
        
        PID:2804
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        211⤵
        
        PID:3480
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        211⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        212⤵
        
        PID:4996
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4996 -s 732
        213⤵
        
        PID:692
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        212⤵
        
        PID:1648
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        213⤵
        
        PID:4056
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        213⤵
        
        PID:3272
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        214⤵
        
        PID:1628
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1628 -s 792
        215⤵
        
        PID:2064
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        214⤵
        
        PID:1776
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        215⤵
        
        PID:3256
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        215⤵
        
        PID:1752
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        216⤵
        
        PID:1108
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        216⤵
        
        PID:1788
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        217⤵
        
        PID:3784
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3784 -s 804
        218⤵
        
        PID:896
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        217⤵
        
        PID:3068
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        218⤵
        
        PID:3628
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        218⤵
        
        PID:2572
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        219⤵
        
        PID:5052
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        219⤵
        
        PID:3532
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        220⤵
        
        PID:1196
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        220⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        221⤵
        
        PID:2360
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2360 -s 784
        222⤵
        
        PID:1676
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        221⤵
        
        PID:4860
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        222⤵
        
        PID:540
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        222⤵
        
        PID:3292
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        223⤵
        
        PID:2540
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2540 -s 820
        224⤵
        
        PID:1876
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        223⤵
        
        PID:1772
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        224⤵
        
        PID:4816
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        224⤵
        
        PID:4168
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        225⤵
        
        PID:4312
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4312 -s 808
        226⤵
        
        PID:5048
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        225⤵
        
        PID:2188
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        226⤵
        
        PID:3352
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        226⤵
        
        PID:1836
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        227⤵
        
        PID:1788
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1788 -s 796
        228⤵
        
        PID:3628
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        227⤵
        
        PID:3568
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        228⤵
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        228⤵
        
        PID:3416
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        229⤵
        
        PID:2272
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2272 -s 812
        230⤵
        
        PID:1168
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        229⤵
        
        PID:1896
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        230⤵
        
        PID:2288
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        230⤵
        
        PID:1220
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        231⤵
        
        PID:3468
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3468 -s 784
        232⤵
        
        PID:4044
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        231⤵
        
        PID:1488
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        232⤵
        
        PID:3456
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        232⤵
        
        PID:3840
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        233⤵
        
        PID:3112
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3112 -s 796
        234⤵
        
        PID:3988
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        233⤵
        
        PID:636
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        234⤵
        
        PID:212
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        234⤵
        
        PID:5008
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        235⤵
        
        PID:3704
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3704 -s 824
        236⤵
        
        PID:4244
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        235⤵
        
        PID:3660
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        236⤵
        
        PID:4228
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        236⤵
        
        PID:2516
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        237⤵
        
        PID:3884
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        237⤵
        
        PID:3132
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        238⤵
        
        PID:2824
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        238⤵
        
        PID:3156
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        239⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2108 -s 812
        240⤵
        
        PID:428
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        239⤵
        
        PID:3532
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        240⤵
        
        PID:2288
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        240⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        241⤵
        
        PID:3432
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3432 -s 820
        242⤵
        
        PID:2960
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        241⤵
        
        PID:2804
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        242⤵
        
        PID:2468
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        242⤵
        
        PID:1376
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        243⤵
        
        PID:4056
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        243⤵
        
        PID:1548
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        244⤵
        
        PID:4356
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        244⤵
        
        PID:1424
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        245⤵
        
        PID:4348
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4348 -s 804
        246⤵
        
        PID:2452
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        245⤵
        
        PID:1892
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        246⤵
        
        PID:4908
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        246⤵
        
        PID:4832
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        247⤵
        
        PID:4992
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        247⤵
        
        PID:3484
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        248⤵
        
        PID:1540
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1540 -s 816
        249⤵
        
        PID:3784
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        248⤵
        
        PID:4796
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        249⤵
        
        PID:2084
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        249⤵
        
        PID:1936
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        250⤵
        
        PID:1240
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        250⤵
        
        PID:4984
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        251⤵
        
        PID:3180
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        251⤵
        
        PID:2124
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        252⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2716 -s 792
        253⤵
        
        PID:2540
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        252⤵
        
        PID:540
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        253⤵
        
        PID:3060
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        253⤵
        
        PID:3624
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        254⤵
        
        PID:1948
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        254⤵
        
        PID:3604
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        255⤵
        
        PID:3292
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        255⤵
        
        PID:3112
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        256⤵
        
        PID:1064
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1064 -s 792
        257⤵
        
        PID:2544
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        256⤵
        
        PID:1108
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        257⤵
        
        PID:2848
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        257⤵
        
        PID:1088
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        258⤵
        
        PID:3972
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3972 -s 784
        259⤵
        
        PID:896
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        258⤵
        
        PID:3980
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        259⤵
        
        PID:1976
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        259⤵
        
        PID:4952
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        260⤵
        
        PID:1196
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1196 -s 792
        261⤵
        
        PID:4480
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        260⤵
        
        PID:1840
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        261⤵
        
        PID:3268
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        261⤵
        
        PID:512
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        262⤵
        
        PID:972
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        262⤵
        
        PID:4836
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        263⤵
        
        PID:4116
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        263⤵
        
        PID:3060
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        264⤵
        
        PID:3272
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3272 -s 784
        265⤵
        
        PID:1776
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        264⤵
        
        PID:4056
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        265⤵
        
        PID:1720
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        265⤵
        
        PID:820
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        266⤵
        
        PID:4520
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4520 -s 740
        267⤵
        
        PID:2176
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        266⤵
        
        PID:3788
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        267⤵
        
        PID:4228
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        267⤵
        
        PID:1836
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        268⤵
        
        PID:3360
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3360 -s 796
        269⤵
        
        PID:2744
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        268⤵
        
        PID:3884
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        269⤵
        
        PID:2392
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        269⤵
        
        PID:3704
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        270⤵
        
        PID:4796
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4796 -s 724
        271⤵
        
        PID:5056
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        270⤵
        
        PID:3480
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        271⤵
        
        PID:4960
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        271⤵
        
        PID:1840
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        272⤵
        
        PID:2468
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        272⤵
        
        PID:5112
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        273⤵
        
        PID:4116
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        273⤵
        
        PID:4480
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        274⤵
        
        PID:1548
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1548 -s 820
        275⤵
        
        PID:1748
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        274⤵
        
        PID:3140
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        275⤵
        
        PID:2572
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        275⤵
        
        PID:5000
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        276⤵
        
        PID:2244
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2244 -s 808
        277⤵
        
        PID:5008
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        276⤵
        
        PID:3660
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        277⤵
        
        PID:4228
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        277⤵
        
        PID:3428
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        278⤵
        
        PID:800
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 800 -s 832
        279⤵
        
        PID:1168
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        278⤵
        
        PID:3800
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        279⤵
        
        PID:3980
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        279⤵
        
        PID:1068
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        280⤵
        
        PID:4804
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        280⤵
        
        PID:2120
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        281⤵
        
        PID:3180
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3180 -s 792
        282⤵
        
        PID:2448
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        281⤵
        
        PID:3504
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        282⤵
        
        PID:2672
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        282⤵
        
        PID:4680
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        283⤵
        
        PID:5112
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        283⤵
        
        PID:608
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        284⤵
        
        PID:1196
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        284⤵
        
        PID:1060
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        285⤵
        
        PID:1828
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1828 -s 808
        286⤵
        
        PID:1396
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        285⤵
        
        PID:2256
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        286⤵
        
        PID:2528
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        286⤵
        
        PID:5000
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        287⤵
        
        PID:536
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 536 -s 720
        288⤵
        
        PID:1836
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        287⤵
        
        PID:4228
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        288⤵
        
        PID:740
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        288⤵
        
        PID:3708
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        289⤵
        
        PID:1392
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1392 -s 764
        290⤵
        
        PID:2112
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        289⤵
        
        PID:3936
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        290⤵
        
        PID:3704
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        290⤵
        
        PID:468
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        291⤵
        
        PID:4752
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4752 -s 804
        292⤵
        
        PID:4680
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        291⤵
        
        PID:800
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        292⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        292⤵
        
        PID:2400
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        293⤵
        
        PID:4996
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        293⤵
        
        PID:4024
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        294⤵
        
        PID:3960
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        294⤵
        
        PID:3344
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        295⤵
        
        PID:4480
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4480 -s 824
        296⤵
        
        PID:4312
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        295⤵
        
        PID:2960
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        296⤵
        
        PID:3272
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        296⤵
        
        PID:3100
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        297⤵
        
        PID:1424
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        297⤵
        
        PID:3896
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        298⤵
        
        PID:3604
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        298⤵
        
        PID:3568
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        299⤵
        
        PID:3828
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3828 -s 804
        300⤵
        
        PID:3668
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        299⤵
        
        PID:412
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        300⤵
        
        PID:2276
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        300⤵
        
        PID:5040
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        301⤵
        
        PID:4244
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4244 -s 812
        302⤵
        
        PID:1648
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        301⤵
        
        PID:3832
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        302⤵
        
        PID:3416
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        302⤵
        
        PID:800
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        303⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2496 -s 808
        304⤵
        
        PID:1332
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        303⤵
        
        PID:2936
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        304⤵
        
        PID:3292
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        304⤵
        
        PID:608
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        305⤵
        
        PID:3988
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3988 -s 808
        306⤵
        
        PID:2212
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        305⤵
        
        PID:1876
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        306⤵
        
        PID:1680
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        306⤵
        
        PID:1064
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        307⤵
        
        PID:4328
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4328 -s 796
        308⤵
        
        PID:3800
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        307⤵
        
        PID:4488
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        308⤵
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        308⤵
        
        PID:1836
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        309⤵
        
        PID:4348
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        309⤵
        
        PID:5060
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        310⤵
        
        PID:4724
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        310⤵
        
        PID:1392
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        311⤵
        
        PID:4672
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4672 -s 776
        312⤵
        
        PID:3504
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        311⤵
        
        PID:4368
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        312⤵
        
        PID:4860
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        312⤵
        
        PID:1648
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        313⤵
        
        PID:4044
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        313⤵
        
        PID:3552
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        314⤵
        
        PID:4796
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        314⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        315⤵
        
        PID:3396
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3396 -s 780
        316⤵
        
        PID:1424
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        315⤵
        
        PID:3640
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        316⤵
        
        PID:2544
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        316⤵
        
        PID:1396
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        317⤵
        
        PID:2848
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2848 -s 764
        318⤵
        
        PID:3708
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        317⤵
        
        PID:740
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        318⤵
        
        PID:4852
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        318⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        319⤵
        
        PID:1540
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        319⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        320⤵
        
        PID:2288
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        320⤵
        
        PID:1840
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        321⤵
        
        PID:956
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 800
        322⤵
        
        PID:4788
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        321⤵
        
        PID:1392
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        322⤵
        
        PID:1696
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        322⤵
        
        PID:4368
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        323⤵
        
        PID:1220
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        323⤵
        
        PID:4816
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        324⤵
        
        PID:3432
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        324⤵
        
        PID:2932
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        325⤵
        
        PID:2572
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2572 -s 832
        326⤵
        
        PID:1128
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        325⤵
        
        PID:3256
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        326⤵
        
        PID:1108
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        326⤵
        
        PID:3428
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        327⤵
        
        PID:1760
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        327⤵
        
        PID:4736
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        328⤵
        
        PID:3660
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        328⤵
        
        PID:4832
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        329⤵
        
        PID:2488
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2488 -s 828
        330⤵
        
        PID:5104
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        329⤵
        
        PID:2244
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        330⤵
        
        PID:4348
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        330⤵
        
        PID:1048
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        331⤵
        
        PID:5020
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        331⤵
        
        PID:1720
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        332⤵
        
        PID:3008
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        332⤵
        
        PID:1100
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        333⤵
        
        PID:3444
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3444 -s 804
        334⤵
        
        PID:784
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        333⤵
        
        PID:3360
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        334⤵
        
        PID:2804
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        334⤵
        
        PID:1196
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        335⤵
        
        PID:2320
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2320 -s 792
        336⤵
        
        PID:2452
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        335⤵
        
        PID:2768
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        336⤵
        
        PID:4308
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        336⤵
        
        PID:2248
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        337⤵
        
        PID:1740
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        337⤵
        
        PID:3800
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        338⤵
        
        PID:3936
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3936 -s 796
        339⤵
        
        PID:636
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        338⤵
        
        PID:2288
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        339⤵
        
        PID:2944
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        339⤵
        
        PID:2360
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        340⤵
        
        PID:1936
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1936 -s 796
        341⤵
        
        PID:4952
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        340⤵
        
        PID:1880
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        341⤵
        
        PID:4404
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        341⤵
        
        PID:1648
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        342⤵
        
        PID:3292
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3292 -s 812
        343⤵
        
        PID:2496
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        342⤵
        
        PID:1860
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        343⤵
        
        PID:5040
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        343⤵
        
        PID:2488
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        344⤵
        
        PID:2512
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        344⤵
        
        PID:1332
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        345⤵
        
        PID:3920
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        345⤵
        
        PID:5056
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        346⤵
        
        PID:2680
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2680 -s 632
        347⤵
        
        PID:1440
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        346⤵
        
        PID:1108
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        347⤵
        
        PID:3604
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        347⤵
        
        PID:4480
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        348⤵
        
        PID:1740
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        348⤵
        
        PID:4312
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        349⤵
        
        PID:4864
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        349⤵
        
        PID:3800
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        350⤵
        
        PID:1104
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1104 -s 816
        351⤵
        
        PID:2016
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        350⤵
        
        PID:2288
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        351⤵
        
        PID:2084
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        351⤵
        
        PID:4804
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        352⤵
        
        PID:2820
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        352⤵
        
        PID:4868
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        353⤵
        
        PID:1772
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        353⤵
        
        PID:540
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        354⤵
        
        PID:4060
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4060 -s 808
        355⤵
        
        PID:4680
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        354⤵
        
        PID:1376
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        355⤵
        
        PID:2936
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        355⤵
        
        PID:1860
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        356⤵
        
        PID:3432
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        356⤵
        
        PID:2112
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        357⤵
        
        PID:4672
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        357⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        358⤵
        
        PID:3076
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3076 -s 832
        359⤵
        
        PID:1488
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        358⤵
        
        PID:3112
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        359⤵
        
        PID:2768
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        359⤵
        
        PID:1384
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        360⤵
        
        PID:5108
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        360⤵
        
        PID:1760
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        361⤵
        
        PID:3828
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        361⤵
        
        PID:2064
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        362⤵
        
        PID:3668
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3668 -s 812
        363⤵
        
        PID:4324
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        362⤵
        
        PID:3416
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        363⤵
        
        PID:820
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        363⤵
        
        PID:1804
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        364⤵
        
        PID:1880
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1880 -s 824
        365⤵
        
        PID:3456
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        364⤵
        
        PID:2920
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        365⤵
        
        PID:2000
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        365⤵
        
        PID:2784
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        366⤵
        
        PID:4260
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        366⤵
        
        PID:4816
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        367⤵
        
        PID:1100
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        367⤵
        
        PID:4332
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        368⤵
        
        PID:3840
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3840 -s 792
        369⤵
        
        PID:3920
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        368⤵
        
        PID:212
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        369⤵
        
        PID:4796
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        369⤵
        
        PID:1680
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        370⤵
        
        PID:1168
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        370⤵
        
        PID:716
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        371⤵
        
        PID:4768
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        371⤵
        
        PID:4852
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        372⤵
        
        PID:428
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 428 -s 812
        373⤵
        
        PID:2120
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        372⤵
        
        PID:2188
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        373⤵
        
        PID:4456
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        373⤵
        
        PID:2540
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        374⤵
        
        PID:4864
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4864 -s 812
        375⤵
        
        PID:1048
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        374⤵
        
        PID:1196
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        375⤵
        
        PID:3832
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        375⤵
        
        PID:848
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        376⤵
        
        PID:1524
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        376⤵
        
        PID:2608
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        377⤵
        
        PID:1840
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        377⤵
        
        PID:4784
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        378⤵
        
        PID:1336
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1336 -s 808
        379⤵
        
        PID:3868
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        378⤵
        
        PID:1720
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        379⤵
        
        PID:800
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        379⤵
        
        PID:1100
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        380⤵
        
        PID:3140
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3140 -s 832
        381⤵
        
        PID:1680
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        380⤵
        
        PID:3624
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        381⤵
        
        PID:3360
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        381⤵
        
        PID:4796
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        382⤵
        
        PID:2532
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        382⤵
        
        PID:1892
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        383⤵
        
        PID:2768
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2768 -s 808
        384⤵
        
        PID:1248
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        383⤵
        
        PID:4908
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        384⤵
        
        PID:1632
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        384⤵
        
        PID:4520
        
        C:\Windows\SysWOW64\28463\EGAF.exe
        
        "C:\Windows\system32\28463\EGAF.exe"
        385⤵
        
        PID:3076
        
        C:\Users\Admin\AppData\Local\Temp\loader.exe
        
        "C:\Users\Admin\AppData\Local\Temp\loader.exe"
        385⤵
        
        PID:3500

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 3508 -ip 3508
1⤵
PID:5052

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 468 -p 4464 -ip 4464
1⤵
PID:4556

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 3772 -ip 3772
1⤵
PID:3040

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 4848 -ip 4848
1⤵
PID:2704

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 4312 -ip 4312
1⤵
PID:4648

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 504 -p 3296 -ip 3296
1⤵
PID:2308

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 468 -p 4824 -ip 4824
1⤵
PID:1748

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4940 -ip 4940
1⤵
PID:4860

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 1660 -ip 1660
1⤵
PID:1976

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 3800 -ip 3800
1⤵
PID:4556

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 468 -p 2848 -ip 2848
1⤵
PID:312

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 504 -p 4948 -ip 4948
1⤵
PID:3664

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 784 -ip 784
1⤵
PID:4028

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 3060 -ip 3060
1⤵
PID:4552

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 1524 -ip 1524
1⤵
PID:468

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 448 -p 900 -ip 900
1⤵
PID:3708

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 504 -p 64 -ip 64
1⤵
PID:4932

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 2868 -ip 2868
1⤵
PID:956

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 2924 -ip 2924
1⤵
PID:3528

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 4552 -ip 4552
1⤵
PID:1284

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 956 -ip 956
1⤵
PID:4788

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 448 -p 4804 -ip 4804
1⤵
PID:3428

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4472 -ip 4472
1⤵
PID:4932

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 504 -p 4316 -ip 4316
1⤵
PID:3876

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 5020 -ip 5020
1⤵
PID:3936

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 2924 -ip 2924
1⤵
PID:4732

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 3784 -ip 3784
1⤵
PID:2868

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 3440 -ip 3440
1⤵
PID:3780

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 1948 -ip 1948
1⤵
PID:860

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 504 -p 3504 -ip 3504
1⤵
PID:2248

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 504 -p 956 -ip 956
1⤵
PID:2496

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 504 -p 1284 -ip 1284
1⤵
PID:1756

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 3268 -ip 3268
1⤵
PID:3456

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 1776 -ip 1776
1⤵
PID:3676

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 2180 -ip 2180
1⤵
PID:2804

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 448 -p 1440 -ip 1440
1⤵
PID:3256

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 548 -ip 548
1⤵
PID:3568

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 900 -ip 900
1⤵
PID:3552

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 2180 -ip 2180
1⤵
PID:428

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 4404 -ip 4404
1⤵
PID:4968

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 956 -ip 956
1⤵
PID:1288

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 3784 -ip 3784
1⤵
PID:3132

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 2672 -ip 2672
1⤵
PID:3960

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 820 -ip 820
1⤵
PID:1676

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 996 -ip 996
1⤵
PID:4244

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 3056 -ip 3056
1⤵
PID:4260

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 1240 -ip 1240
1⤵
PID:4144

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 4472 -ip 4472
1⤵
PID:2932

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 1660 -ip 1660
1⤵
PID:2392

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 4832 -ip 4832
1⤵
PID:4672

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 4472 -ip 4472
1⤵
PID:3668

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 2244 -ip 2244
1⤵
PID:2936

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 1524 -ip 1524
1⤵
PID:2176

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 692 -ip 692
1⤵
PID:4168

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 2212 -ip 2212
1⤵
PID:2680

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 468 -p 4684 -ip 4684
1⤵
PID:2784

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3840 -ip 3840
1⤵
PID:3628

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 2936 -ip 2936
1⤵
PID:2184

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 1068 -ip 1068
1⤵
PID:2320

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 1060 -ip 1060
1⤵
PID:1840

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 448 -p 4168 -ip 4168
1⤵
PID:1648

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 412 -ip 412
1⤵
PID:2924

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 468 -p 1936 -ip 1936
1⤵
PID:3548

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 468 -p 2488 -ip 2488
1⤵
PID:4736

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 2400 -ip 2400
1⤵
PID:3272

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 2296 -ip 2296
1⤵
PID:2944

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 468 -ip 468
1⤵
PID:1392

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 448 -p 4932 -ip 4932
1⤵
PID:2288

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 4996 -ip 4996
1⤵
PID:2488

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 1628 -ip 1628
1⤵
PID:4952

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3784 -ip 3784
1⤵
PID:1068

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 2360 -ip 2360
1⤵
PID:2672

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 2540 -ip 2540
1⤵
PID:3008

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 4312 -ip 4312
1⤵
PID:4520

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 1788 -ip 1788
1⤵
PID:1128

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 2272 -ip 2272
1⤵
PID:4736

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 3468 -ip 3468
1⤵
PID:1284

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 3112 -ip 3112
1⤵
PID:1876

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 3704 -ip 3704
1⤵
PID:752

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 2108 -ip 2108
1⤵
PID:1060

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 3432 -ip 3432
1⤵
PID:3008

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 4348 -ip 4348
1⤵
PID:640

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 1540 -ip 1540
1⤵
PID:4472

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 2716 -ip 2716
1⤵
PID:4024

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 1064 -ip 1064
1⤵
PID:4684

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 388 -p 3972 -ip 3972
1⤵
PID:800

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 1196 -ip 1196
1⤵
PID:2512

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 448 -p 3272 -ip 3272
1⤵
PID:4248

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 4520 -ip 4520
1⤵
PID:1752

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 3360 -ip 3360
1⤵
PID:4488

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 4796 -ip 4796
1⤵
PID:2052

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 1548 -ip 1548
1⤵
PID:2488

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 504 -p 2244 -ip 2244
1⤵
PID:2544

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 448 -p 800 -ip 800
1⤵
PID:2744

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 448 -p 3180 -ip 3180
1⤵
PID:512

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 1828 -ip 1828
1⤵
PID:2540

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 536 -ip 536
1⤵
PID:2248

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 1392 -ip 1392
1⤵
PID:1088

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 4752 -ip 4752
1⤵
PID:2820

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 4480 -ip 4480
1⤵
PID:1396

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 388 -p 3828 -ip 3828
1⤵
PID:4736

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 388 -p 4244 -ip 4244
1⤵
PID:2184

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 468 -p 2496 -ip 2496
1⤵
PID:3444

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 3988 -ip 3988
1⤵
PID:4216

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 4328 -ip 4328
1⤵
PID:3948

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 4672 -ip 4672
1⤵
PID:2468

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 468 -p 3396 -ip 3396
1⤵
PID:1828

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 2848 -ip 2848
1⤵
PID:1104

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 956 -ip 956
1⤵
PID:2468

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 388 -p 2572 -ip 2572
1⤵
PID:440

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 2488 -ip 2488
1⤵
PID:4468

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 3444 -ip 3444
1⤵
PID:2496

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 2320 -ip 2320
1⤵
PID:2308

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 3936 -ip 3936
1⤵
PID:1948

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 468 -p 1936 -ip 1936
1⤵
PID:2244

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 360 -p 3292 -ip 3292
1⤵
PID:3840

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 2680 -ip 2680
1⤵
PID:1944

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 468 -p 1104 -ip 1104
1⤵
PID:1052

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4060 -ip 4060
1⤵
PID:3268

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 3076 -ip 3076
1⤵
PID:1248

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 3668 -ip 3668
1⤵
PID:4556

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 468 -p 1880 -ip 1880
1⤵
PID:1640

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 3840 -ip 3840
1⤵
PID:1776

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 428 -ip 428
1⤵
PID:752

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 4864 -ip 4864
1⤵
PID:2084

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 1336 -ip 1336
1⤵
PID:1752

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 3140 -ip 3140
1⤵
PID:1896

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 2768 -ip 2768
1⤵
PID:1540

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\@7511.tmp

Filesize
4KB

MD5
072f1a688c3acab7ad7285438fb82327

SHA1
42ecb0a53ad7024d5125cba7472eb535acbde633

SHA256
fca0e37bdd76d3de33188eb2fd23e416ef497b06b8c3ff0f4b5a59c8c8542ad6

SHA512
e49e737dda9772a73761b6d1bfea9ea939389612b4e912f70470a0f12e5df7fb4db841e67756bd64d82c1584ecd4188037c1a00c28081b0c3ccca7707d480840

Download Submit
C:\Users\Admin\AppData\Local\Temp\@7706.tmp

Filesize
1.4MB

MD5
c2cf699342d25626a0a1e25087481529

SHA1
e919f391a2e4a0b1b698c9cbba2ad0dc08a888b2

SHA256
78c31d14a4c3388be8b783c70cc86c27f6c03db32c067fa522afa681ca7509df

SHA512
572a917a8853eddee37850c411996fe56d687ec6bb629f2e240cd8b940705c2cd2d8c0d36e863c939d072eb5f79a248da61ca7845ac191ad3f65b9baa55fabfd

Download Submit
C:\Users\Admin\AppData\Local\Temp\loader.exe

Filesize
1.0MB

MD5
4fed3398b8ededb3efda4c575d16f89b

SHA1
6a7acd1652198cb91a979800b87a1d137c7ce756

SHA256
73dab47fad709b5b570dd355c9a99fb03af7fe2e9305cd0abbc7c4e802520378

SHA512
a4fad26294f95affb7153b6854a0e056dca34728d3566f4b51c2713b334fd0372e4aa6ad1d89a2a5062d3ee2ef973256c1ce341114e5c1d1ce2a42c4e9a65955

Download Submit
C:\Windows\SysWOW64\28463\AKV.exe

Filesize
457KB

MD5
1330b13b62c4a93f01258c92865d7b66

SHA1
80af708c5f6aa42a44b59c22747ec22672521a15

SHA256
dbd2839b7ad5fb3a9e82ebd9c20bac14f36e206681133de6243eac3e54ff6009

SHA512
9fdedc00fe2e2c9abdfe144de3e3bc12701e4e90d08d1df8f754535fecb4b7cec85dec60acfcbae57d11971cb0c669d81f5f879be71d241d4dcd1abd6cf062b7

Download Submit
C:\Windows\SysWOW64\28463\EGAF.001

Filesize
458B

MD5
c11be7c58ec64d477dcd01ef084921a6

SHA1
c27c908f21d7809ef92b3d3600e62e615485a240

SHA256
5f14c776c8ffca84bf5fb68ecf2aa14fbb377f8f568ef8874cf5884fa071edb9

SHA512
44db62af0b580c44c9eb368a77e019b6df4db0329fc66ef8234b5ea92e05798c8ca4605414e4326559ea9fa972df163b77421e4f60b509499655a3c1af6729bc

Download Submit
C:\Windows\SysWOW64\28463\EGAF.006

Filesize
8KB

MD5
e276f0755a4cfd771e79f890f080872f

SHA1
a96ea810928536f332998dd034555afc47b0c71a

SHA256
8df0e42c01742facc785ae056a63f9820bf4ac6ac7693a92ac62042afe5435c0

SHA512
f47ed8a0db02ebfd460fcbd6330cf79c001d40606a9c12b0d084bc693e30f0623e2632682ff6bd32a21cf3534ad8fd8433337e149a8ed4d18cec49f88a4992e0

Download Submit
C:\Windows\SysWOW64\28463\EGAF.007

Filesize
5KB

MD5
30c025b8c40053769b6c4dd558c2e3bc

SHA1
4e73208134bce15b77ceb700fbd9ba4eb6185d71

SHA256
2c57f4374b09cb372b26d02c4785d72ba56d66c2bd18900342b826151f60b478

SHA512
9348b2ac6c6cb673b47d7cbe4476d158a145557e723dc1c4dd4fe2c1d3ae22bd3ff1905bb3d65bed9a1bcd2f66a8367ad50a82ea991840f5ab70cf4e6345bff9

Download Submit
C:\Windows\SysWOW64\28463\EGAF.exe

Filesize
648KB

MD5
fdf98229979369e5c97fb6eccf7a8ac7

SHA1
b900b25fed4568a9e6204e68b9df40453f2db73e

SHA256
221380cdd7f83df5188b5625add30e87a9b77daac8c809c1a2b6765ebbecce7d

SHA512
d63773245376803583ba52dc16e561dee77d21bc73b19e07a2f75955c6d25335438c2b62464768630e2d720519a6ba0927bfacbda4024d2d766d2e5d356f2be2

Download Submit
C:\Windows\SysWOW64\28463\key.bin

Filesize
106B

MD5
639d75ab6799987dff4f0cf79fa70c76

SHA1
be2678476d07f78bb81e8813c9ee2bfff7cc7efb

SHA256
fc42ab050ffdfed8c8c7aac6d7e4a7cad4696218433f7ca327bcfdf9f318ac98

SHA512
4b511d0330d7204af948ce7b15615d745e8d4ea0a73bbece4e00fb23ba2635dd99e4fa54a76236d6f74bdbcdba57d32fd4c36b608d52628e72d11d5ed6f8cde2

Download Submit
memory/692-676-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/716-326-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/716-318-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/784-594-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/852-173-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/852-131-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/900-665-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/972-530-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/972-538-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/1064-254-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/1064-257-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/1068-56-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/1068-175-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/1180-360-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/1336-689-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/1420-18-0x0000000000400000-0x0000000000448000-memory.dmp

Filesize
288KB

Download
memory/1524-642-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/1524-662-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/1644-201-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/1660-483-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/1660-464-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/1776-292-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/1896-478-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/1936-619-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/1936-625-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/2000-195-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/2052-590-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/2064-527-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/2532-114-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/2532-214-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/2544-381-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/2788-658-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/2788-651-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/2820-271-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/2848-509-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/2848-551-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/2876-363-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/2876-369-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/2908-502-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/2908-495-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/2960-183-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/2960-189-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3060-639-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3060-597-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3272-233-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3272-229-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3296-399-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3296-418-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3348-331-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3348-337-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3416-638-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3416-628-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3508-160-0x0000000000610000-0x0000000000611000-memory.dmp

Filesize
4KB

Download
memory/3508-216-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3508-28-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3508-29-0x00000000021C0000-0x000000000221A000-memory.dmp

Filesize
360KB

Download
memory/3508-51-0x0000000003210000-0x0000000003213000-memory.dmp

Filesize
12KB

Download
memory/3508-50-0x0000000003220000-0x0000000003221000-memory.dmp

Filesize
4KB

Download
memory/3508-49-0x0000000002390000-0x0000000002391000-memory.dmp

Filesize
4KB

Download
memory/3508-48-0x00000000023D0000-0x00000000023D1000-memory.dmp

Filesize
4KB

Download
memory/3508-47-0x0000000002410000-0x0000000002411000-memory.dmp

Filesize
4KB

Download
memory/3508-46-0x00000000023F0000-0x00000000023F1000-memory.dmp

Filesize
4KB

Download
memory/3508-45-0x0000000002400000-0x0000000002401000-memory.dmp

Filesize
4KB

Download
memory/3508-44-0x00000000023B0000-0x00000000023B1000-memory.dmp

Filesize
4KB

Download
memory/3508-162-0x00000000021C0000-0x000000000221A000-memory.dmp

Filesize
360KB

Download
memory/3508-161-0x0000000000630000-0x0000000000631000-memory.dmp

Filesize
4KB

Download
memory/3508-159-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3508-217-0x00000000021C0000-0x000000000221A000-memory.dmp

Filesize
360KB

Download
memory/3584-204-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3584-208-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3772-294-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3772-245-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3800-486-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3800-506-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3940-450-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3940-454-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3972-565-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3972-570-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3980-276-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/3980-280-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4312-342-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4312-388-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4404-612-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4464-240-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4464-220-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4724-549-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4724-541-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4744-414-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4752-171-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4756-187-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4756-77-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4824-439-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4848-339-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4932-396-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4932-384-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4940-461-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4940-307-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4940-315-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4948-554-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/4948-573-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download
memory/5048-432-0x0000000000400000-0x00000000004DF000-memory.dmp

Filesize
892KB

Download