metasploit | 01ab469cbc136b144f0f4f747af356de3270c794e9ab63e49b1b4ab908e9e079

Analysis

max time kernel
150s
max time network
97s
platform
windows10-2004_x64
resource
win10v2004-20241007-en
resource tags

arch:x64arch:x86image:win10v2004-20241007-enlocale:en-usos:windows10-2004-x64system
submitted
02-12-2024 05:09

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

b6f4f06b306d2ec8bb84f4312b3ead20_JaffaCakes118.exe
Size

291KB
MD5

b6f4f06b306d2ec8bb84f4312b3ead20
SHA1

9e3a7d1cdc6e4ca3e3f77b4e600c40cd751b2491
SHA256

01ab469cbc136b144f0f4f747af356de3270c794e9ab63e49b1b4ab908e9e079
SHA512

8b62dfa5b6ac38a3ff88fe4c08f8c1ab63a3df027c8ddbc2984ccacadb800fdedd52b087f6da4abc0c3d00618e457ba9c832dc9414866dfdf5f2a71b835433c1
SSDEEP

6144:00NJ7p6GME0ifks0TsCfYOiOr4TRRPgKJM5QabWHxD+kRdvqM:FJF6Gx0NqOrGoJQQWwkh

Score

10^/10

metasploit backdoor discovery trojan

Malware Config

Extracted

Family

metasploit

Version

encoder/call4_dword_xor

Signatures

MetaSploit
Detected malicious payload which is part of the Metasploit Framework, likely generated with msfvenom or similar.
trojan backdoor metasploit
Metasploit family
metasploit

Executes dropped EXE 64 IoCs

pid	Process
4984	afhwek.exe
4900	gdeesd.exe
4044	owdezr.exe
4864	ygcugu.exe
4480	qsguug.exe
1684	bkvszw.exe
3264	iggfqh.exe
2468	qhffxo.exe
2228	vivanu.exe
4028	gakgsk.exe
1068	kqhsoy.exe
3380	vxmlqk.exe
4444	dbwyhv.exe
4792	niivsu.exe
5004	avrlyx.exe
4144	qaagcd.exe
1156	akprpg.exe
1516	nmvtsf.exe
2760	akqwin.exe
1724	ljcttm.exe
4196	ywmrzq.exe
4280	ljdhem.exe
548	yiyjnu.exe
4428	ihkhft.exe
2384	vuuxlx.exe
1760	ihlmra.exe
1420	qxzmdq.exe
2928	dkqcju.exe
4332	qxaspq.exe
4500	dkrivt.exe
1720	nmhsqx.exe
4876	ahyiwa.exe
2712	nuixbw.exe
2116	allake.exe
4496	nyuqqi.exe
1100	xisadl.exe
2776	njhqem.exe
3656	yitoxl.exe
208	lhoqft.exe
1520	yufglx.exe
3832	itjdvw.exe
2264	vjegew.exe
2328	iewwka.exe
1480	vrnmqe.exe
3652	frrjic.exe
3476	sejhog.exe
4700	fcejwg.exe
3464	ycfpio.exe
3252	ibrmsn.exe
1128	savklm.exe
4612	indfhr.exe
4268	smhczq.exe
4596	fzzafu.exe
2684	quskno.exe
3092	dhjats.exe
2356	qgedbs.exe
4516	dwhfka.exe
2560	qjqvye.exe
3292	augflh.exe
5000	nhxvrd.exe
1160	aqegud.exe
2168	kttqhg.exe
4960	xolgnk.exe
1524	kefjdk.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\wmuuzw.exe	Process not Found
File created	C:\Windows\SysWOW64\dhjats.exe	quskno.exe
File opened for modification	C:\Windows\SysWOW64\cfxrky.exe	osgceu.exe
File created	C:\Windows\SysWOW64\odnjsa.exe	bqetnw.exe
File opened for modification	C:\Windows\SysWOW64\wcytgf.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\umoiup.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\psiuao.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\gscdoj.exe	Process not Found
File created	C:\Windows\SysWOW64\gscdoj.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\nyxyrg.exe	Process not Found
File created	C:\Windows\SysWOW64\xgglzp.exe	Process not Found
File created	C:\Windows\SysWOW64\qgedbs.exe	dhjats.exe
File created	C:\Windows\SysWOW64\kefjdk.exe	xolgnk.exe
File created	C:\Windows\SysWOW64\cgjxxo.exe	pxduuw.exe
File created	C:\Windows\SysWOW64\kuaysd.exe	xzrima.exe
File opened for modification	C:\Windows\SysWOW64\nfsfkw.exe	Process not Found
File created	C:\Windows\SysWOW64\wdzkxy.exe	Process not Found
File created	C:\Windows\SysWOW64\vfzrnm.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\qarkqz.exe	ekoihr.exe
File created	C:\Windows\SysWOW64\obcdyk.exe	blhapc.exe
File opened for modification	C:\Windows\SysWOW64\memhyq.exe	Process not Found
File created	C:\Windows\SysWOW64\dnaowd.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\zvhayx.exe	Process not Found
File created	C:\Windows\SysWOW64\yyskne.exe	mayhww.exe
File opened for modification	C:\Windows\SysWOW64\jycwyo.exe	zonmdl.exe
File opened for modification	C:\Windows\SysWOW64\cvxehw.exe	Process not Found
File created	C:\Windows\SysWOW64\qmdlah.exe	Process not Found
File created	C:\Windows\SysWOW64\dnyakd.exe	Process not Found
File created	C:\Windows\SysWOW64\ndrbmm.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\cxznmr.exe	Process not Found
File created	C:\Windows\SysWOW64\uaegqb.exe	hnuqkx.exe
File created	C:\Windows\SysWOW64\xaxgfr.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\odmlce.exe	Process not Found
File created	C:\Windows\SysWOW64\skxkyz.exe	exnusv.exe
File opened for modification	C:\Windows\SysWOW64\uzgqpi.exe	hmobjm.exe
File created	C:\Windows\SysWOW64\ekwoot.exe	uzhebq.exe
File created	C:\Windows\SysWOW64\jimywv.exe	wndiqs.exe
File created	C:\Windows\SysWOW64\chkkpi.exe	Process not Found
File created	C:\Windows\SysWOW64\ntpjzq.exe	Process not Found
File created	C:\Windows\SysWOW64\kehopr.exe	yomlgj.exe
File opened for modification	C:\Windows\SysWOW64\cmrpla.exe	sjcexe.exe
File opened for modification	C:\Windows\SysWOW64\jewqpq.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\ffozed.exe	skxkyz.exe
File created	C:\Windows\SysWOW64\wcunsn.exe	nsfcfk.exe
File opened for modification	C:\Windows\SysWOW64\zdlmqx.exe	mqtwkt.exe
File created	C:\Windows\SysWOW64\quxnqp.exe	ckqknq.exe
File created	C:\Windows\SysWOW64\purqvw.exe	Process not Found
File created	C:\Windows\SysWOW64\sgnhkl.exe	Process not Found
File created	C:\Windows\SysWOW64\cvvzxk.exe	ssgpkh.exe
File opened for modification	C:\Windows\SysWOW64\jjsnxh.exe	wobxrl.exe
File created	C:\Windows\SysWOW64\ksytkh.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\areopg.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\zmlutb.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\vgxhox.exe	Process not Found
File created	C:\Windows\SysWOW64\tukylv.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\njhqem.exe	xisadl.exe
File opened for modification	C:\Windows\SysWOW64\dqoyyo.exe	trcanp.exe
File created	C:\Windows\SysWOW64\aiyqre.exe	nvhala.exe
File created	C:\Windows\SysWOW64\ktvvzs.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\cvyrbw.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\zbdvfv.exe	Process not Found
File created	C:\Windows\SysWOW64\gxqjse.exe	Process not Found
File created	C:\Windows\SysWOW64\xzrima.exe	jmztge.exe
File opened for modification	C:\Windows\SysWOW64\gqrhyp.exe	tdhrsl.exe

Program crash 64 IoCs

pid	pid_target	Process	procid_target
1244	4740	WerFault.exe	81
4808	4984	WerFault.exe	85
2020	4900	WerFault.exe	88
244	4044	WerFault.exe	91
3000	4864	WerFault.exe	94
3164	4480	WerFault.exe	97
3088	1684	WerFault.exe	100
4604	3264	WerFault.exe	103
2192	2468	WerFault.exe	106
3092	2228	WerFault.exe	109
4780	4028	WerFault.exe	112
4368	1068	WerFault.exe	115
2520	3380	WerFault.exe	118
2956	4444	WerFault.exe	121
756	4792	WerFault.exe	124
4276	5004	WerFault.exe	127
3484	4144	WerFault.exe	130
1664	1156	WerFault.exe	133
4992	1516	WerFault.exe	136
2664	2760	WerFault.exe	139
3252	1724	WerFault.exe	142
3340	4196	WerFault.exe	145
1016	4280	WerFault.exe	148
3320	548	WerFault.exe	151
4592	4428	WerFault.exe	154
1424	2384	WerFault.exe	157
4368	1760	WerFault.exe	160
3440	1420	WerFault.exe	163
2748	2928	WerFault.exe	166
3512	4332	WerFault.exe	169
2024	4500	WerFault.exe	172
2648	1720	WerFault.exe	175
1012	4876	WerFault.exe	178
1008	2712	WerFault.exe	181
4884	2116	WerFault.exe	184
4996	4496	WerFault.exe	187
2296	1100	WerFault.exe	190
1324	2776	WerFault.exe	193
1876	3656	WerFault.exe	196
3436	208	WerFault.exe	199
4572	1520	WerFault.exe	202
1644	3832	WerFault.exe	205
3440	2264	WerFault.exe	208
2952	2328	WerFault.exe	211
4184	1480	WerFault.exe	214
408	3652	WerFault.exe	217
5044	3476	WerFault.exe	220
2488	4700	WerFault.exe	223
4972	2108	WerFault.exe	226
4960	3464	WerFault.exe	229
1852	3252	WerFault.exe	232
5116	1128	WerFault.exe	235
2836	4612	WerFault.exe	238
748	4268	WerFault.exe	241
928	4596	WerFault.exe	244
440	2684	WerFault.exe	247
3192	3092	WerFault.exe	250
4240	2356	WerFault.exe	253
4340	4516	WerFault.exe	256
2896	2560	WerFault.exe	259
4628	3292	WerFault.exe	262
368	5000	WerFault.exe	265
2888	1160	WerFault.exe	268
3616	2168	WerFault.exe	271

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ojlirk.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	uqcgdg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wvencz.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	usmbpg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	thaiau.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	jevuhm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	nvhala.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	hnuqkx.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	kuaysd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ywdydi.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	uepnoc.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cfxrky.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	idlvjj.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	smecen.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ioxmvi.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	puwjgd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rffdgu.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	liobwt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wttvbj.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	qapfer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ygcugu.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wxbsnh.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	yyskne.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	jswyjj.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	rejbqi.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	kpnqjq.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	hwzgih.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	nnwibu.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	dxdfxy.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
4740	b6f4f06b306d2ec8bb84f4312b3ead20_JaffaCakes118.exe
4740	b6f4f06b306d2ec8bb84f4312b3ead20_JaffaCakes118.exe
4984	afhwek.exe
4984	afhwek.exe
4900	gdeesd.exe
4900	gdeesd.exe
4044	owdezr.exe
4044	owdezr.exe
4864	ygcugu.exe
4864	ygcugu.exe
4480	qsguug.exe
4480	qsguug.exe
1684	bkvszw.exe
1684	bkvszw.exe
3264	iggfqh.exe
3264	iggfqh.exe
2468	qhffxo.exe
2468	qhffxo.exe
2228	vivanu.exe
2228	vivanu.exe
4028	gakgsk.exe
4028	gakgsk.exe
1068	kqhsoy.exe
1068	kqhsoy.exe
3380	vxmlqk.exe
3380	vxmlqk.exe
4444	dbwyhv.exe
4444	dbwyhv.exe
4792	niivsu.exe
4792	niivsu.exe
5004	avrlyx.exe
5004	avrlyx.exe
4144	qaagcd.exe
4144	qaagcd.exe
1156	akprpg.exe
1156	akprpg.exe
1516	nmvtsf.exe
1516	nmvtsf.exe
2760	akqwin.exe
2760	akqwin.exe
1724	ljcttm.exe
1724	ljcttm.exe
4196	ywmrzq.exe
4196	ywmrzq.exe
4280	ljdhem.exe
4280	ljdhem.exe
548	yiyjnu.exe
548	yiyjnu.exe
4428	ihkhft.exe
4428	ihkhft.exe
2384	vuuxlx.exe
2384	vuuxlx.exe
1760	ihlmra.exe
1760	ihlmra.exe
1420	qxzmdq.exe
1420	qxzmdq.exe
2928	dkqcju.exe
2928	dkqcju.exe
4332	qxaspq.exe
4332	qxaspq.exe
4500	dkrivt.exe
4500	dkrivt.exe
1720	nmhsqx.exe
1720	nmhsqx.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4740 wrote to memory of 4984	4740	b6f4f06b306d2ec8bb84f4312b3ead20_JaffaCakes118.exe	85
PID 4740 wrote to memory of 4984	4740	b6f4f06b306d2ec8bb84f4312b3ead20_JaffaCakes118.exe	85
PID 4740 wrote to memory of 4984	4740	b6f4f06b306d2ec8bb84f4312b3ead20_JaffaCakes118.exe	85
PID 4984 wrote to memory of 4900	4984	afhwek.exe	88
PID 4984 wrote to memory of 4900	4984	afhwek.exe	88
PID 4984 wrote to memory of 4900	4984	afhwek.exe	88
PID 4900 wrote to memory of 4044	4900	gdeesd.exe	91
PID 4900 wrote to memory of 4044	4900	gdeesd.exe	91
PID 4900 wrote to memory of 4044	4900	gdeesd.exe	91
PID 4044 wrote to memory of 4864	4044	owdezr.exe	94
PID 4044 wrote to memory of 4864	4044	owdezr.exe	94
PID 4044 wrote to memory of 4864	4044	owdezr.exe	94
PID 4864 wrote to memory of 4480	4864	ygcugu.exe	97
PID 4864 wrote to memory of 4480	4864	ygcugu.exe	97
PID 4864 wrote to memory of 4480	4864	ygcugu.exe	97
PID 4480 wrote to memory of 1684	4480	qsguug.exe	100
PID 4480 wrote to memory of 1684	4480	qsguug.exe	100
PID 4480 wrote to memory of 1684	4480	qsguug.exe	100
PID 1684 wrote to memory of 3264	1684	bkvszw.exe	103
PID 1684 wrote to memory of 3264	1684	bkvszw.exe	103
PID 1684 wrote to memory of 3264	1684	bkvszw.exe	103
PID 3264 wrote to memory of 2468	3264	iggfqh.exe	106
PID 3264 wrote to memory of 2468	3264	iggfqh.exe	106
PID 3264 wrote to memory of 2468	3264	iggfqh.exe	106
PID 2468 wrote to memory of 2228	2468	qhffxo.exe	109
PID 2468 wrote to memory of 2228	2468	qhffxo.exe	109
PID 2468 wrote to memory of 2228	2468	qhffxo.exe	109
PID 2228 wrote to memory of 4028	2228	vivanu.exe	112
PID 2228 wrote to memory of 4028	2228	vivanu.exe	112
PID 2228 wrote to memory of 4028	2228	vivanu.exe	112
PID 4028 wrote to memory of 1068	4028	gakgsk.exe	115
PID 4028 wrote to memory of 1068	4028	gakgsk.exe	115
PID 4028 wrote to memory of 1068	4028	gakgsk.exe	115
PID 1068 wrote to memory of 3380	1068	kqhsoy.exe	118
PID 1068 wrote to memory of 3380	1068	kqhsoy.exe	118
PID 1068 wrote to memory of 3380	1068	kqhsoy.exe	118
PID 3380 wrote to memory of 4444	3380	vxmlqk.exe	121
PID 3380 wrote to memory of 4444	3380	vxmlqk.exe	121
PID 3380 wrote to memory of 4444	3380	vxmlqk.exe	121
PID 4444 wrote to memory of 4792	4444	dbwyhv.exe	124
PID 4444 wrote to memory of 4792	4444	dbwyhv.exe	124
PID 4444 wrote to memory of 4792	4444	dbwyhv.exe	124
PID 4792 wrote to memory of 5004	4792	niivsu.exe	127
PID 4792 wrote to memory of 5004	4792	niivsu.exe	127
PID 4792 wrote to memory of 5004	4792	niivsu.exe	127
PID 5004 wrote to memory of 4144	5004	avrlyx.exe	130
PID 5004 wrote to memory of 4144	5004	avrlyx.exe	130
PID 5004 wrote to memory of 4144	5004	avrlyx.exe	130
PID 4144 wrote to memory of 1156	4144	qaagcd.exe	133
PID 4144 wrote to memory of 1156	4144	qaagcd.exe	133
PID 4144 wrote to memory of 1156	4144	qaagcd.exe	133
PID 1156 wrote to memory of 1516	1156	akprpg.exe	136
PID 1156 wrote to memory of 1516	1156	akprpg.exe	136
PID 1156 wrote to memory of 1516	1156	akprpg.exe	136
PID 1516 wrote to memory of 2760	1516	nmvtsf.exe	139
PID 1516 wrote to memory of 2760	1516	nmvtsf.exe	139
PID 1516 wrote to memory of 2760	1516	nmvtsf.exe	139
PID 2760 wrote to memory of 1724	2760	akqwin.exe	142
PID 2760 wrote to memory of 1724	2760	akqwin.exe	142
PID 2760 wrote to memory of 1724	2760	akqwin.exe	142
PID 1724 wrote to memory of 4196	1724	ljcttm.exe	145
PID 1724 wrote to memory of 4196	1724	ljcttm.exe	145
PID 1724 wrote to memory of 4196	1724	ljcttm.exe	145
PID 4196 wrote to memory of 4280	4196	ywmrzq.exe	148

C:\Users\Admin\AppData\Local\Temp\b6f4f06b306d2ec8bb84f4312b3ead20_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\b6f4f06b306d2ec8bb84f4312b3ead20_JaffaCakes118.exe"
1⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:4740
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 4740 -s 340
  2⤵
  - Program crash
  PID:1244
- C:\Windows\SysWOW64\afhwek.exe
  C:\Windows\system32\afhwek.exe 1156 "C:\Users\Admin\AppData\Local\Temp\b6f4f06b306d2ec8bb84f4312b3ead20_JaffaCakes118.exe"
  2⤵
  - Executes dropped EXE
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of WriteProcessMemory
  PID:4984
- - C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -u -p 4984 -s 340
    3⤵
    - Program crash
    PID:4808
- - C:\Windows\SysWOW64\gdeesd.exe
    C:\Windows\system32\gdeesd.exe 1104 "C:\Windows\SysWOW64\afhwek.exe"
    3⤵
    - Executes dropped EXE
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of WriteProcessMemory
    PID:4900
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4900 -s 340
      4⤵
      Program crash
      PID:2020
  - - C:\Windows\SysWOW64\owdezr.exe
      C:\Windows\system32\owdezr.exe 1040 "C:\Windows\SysWOW64\gdeesd.exe"
      4⤵
      Executes dropped EXE
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of WriteProcessMemory
      PID:4044
    - - C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4044 -s 344
        5⤵
        Program crash
        
        PID:244
    - - C:\Windows\SysWOW64\ygcugu.exe
        
        C:\Windows\system32\ygcugu.exe 1028 "C:\Windows\SysWOW64\owdezr.exe"
        5⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:4864
      - C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4864 -s 340
        6⤵
        Program crash
        
        PID:3000
      - C:\Windows\SysWOW64\qsguug.exe
        
        C:\Windows\system32\qsguug.exe 1032 "C:\Windows\SysWOW64\ygcugu.exe"
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:4480
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4480 -s 340
        7⤵
        Program crash
        
        PID:3164
        
        C:\Windows\SysWOW64\bkvszw.exe
        
        C:\Windows\system32\bkvszw.exe 1036 "C:\Windows\SysWOW64\qsguug.exe"
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:1684
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1684 -s 344
        8⤵
        Program crash
        
        PID:3088
        
        C:\Windows\SysWOW64\iggfqh.exe
        
        C:\Windows\system32\iggfqh.exe 1180 "C:\Windows\SysWOW64\bkvszw.exe"
        8⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:3264
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3264 -s 340
        9⤵
        Program crash
        
        PID:4604
        
        C:\Windows\SysWOW64\qhffxo.exe
        
        C:\Windows\system32\qhffxo.exe 1192 "C:\Windows\SysWOW64\iggfqh.exe"
        9⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:2468
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2468 -s 340
        10⤵
        Program crash
        
        PID:2192
        
        C:\Windows\SysWOW64\vivanu.exe
        
        C:\Windows\system32\vivanu.exe 1068 "C:\Windows\SysWOW64\qhffxo.exe"
        10⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:2228
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2228 -s 344
        11⤵
        Program crash
        
        PID:3092
        
        C:\Windows\SysWOW64\gakgsk.exe
        
        C:\Windows\system32\gakgsk.exe 1064 "C:\Windows\SysWOW64\vivanu.exe"
        11⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:4028
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4028 -s 340
        12⤵
        Program crash
        
        PID:4780
        
        C:\Windows\SysWOW64\kqhsoy.exe
        
        C:\Windows\system32\kqhsoy.exe 1056 "C:\Windows\SysWOW64\gakgsk.exe"
        12⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:1068
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1068 -s 340
        13⤵
        Program crash
        
        PID:4368
        
        C:\Windows\SysWOW64\vxmlqk.exe
        
        C:\Windows\system32\vxmlqk.exe 1044 "C:\Windows\SysWOW64\kqhsoy.exe"
        13⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:3380
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3380 -s 340
        14⤵
        Program crash
        
        PID:2520
        
        C:\Windows\SysWOW64\dbwyhv.exe
        
        C:\Windows\system32\dbwyhv.exe 1072 "C:\Windows\SysWOW64\vxmlqk.exe"
        14⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:4444
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4444 -s 340
        15⤵
        Program crash
        
        PID:2956
        
        C:\Windows\SysWOW64\niivsu.exe
        
        C:\Windows\system32\niivsu.exe 1088 "C:\Windows\SysWOW64\dbwyhv.exe"
        15⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:4792
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4792 -s 340
        16⤵
        Program crash
        
        PID:756
        
        C:\Windows\SysWOW64\avrlyx.exe
        
        C:\Windows\system32\avrlyx.exe 1220 "C:\Windows\SysWOW64\niivsu.exe"
        16⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:5004
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 5004 -s 340
        17⤵
        Program crash
        
        PID:4276
        
        C:\Windows\SysWOW64\qaagcd.exe
        
        C:\Windows\system32\qaagcd.exe 1216 "C:\Windows\SysWOW64\avrlyx.exe"
        17⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:4144
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4144 -s 340
        18⤵
        Program crash
        
        PID:3484
        
        C:\Windows\SysWOW64\akprpg.exe
        
        C:\Windows\system32\akprpg.exe 1208 "C:\Windows\SysWOW64\qaagcd.exe"
        18⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:1156
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1156 -s 340
        19⤵
        Program crash
        
        PID:1664
        
        C:\Windows\SysWOW64\nmvtsf.exe
        
        C:\Windows\system32\nmvtsf.exe 1228 "C:\Windows\SysWOW64\akprpg.exe"
        19⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:1516
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1516 -s 340
        20⤵
        Program crash
        
        PID:4992
        
        C:\Windows\SysWOW64\akqwin.exe
        
        C:\Windows\system32\akqwin.exe 1236 "C:\Windows\SysWOW64\nmvtsf.exe"
        20⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:2760
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2760 -s 340
        21⤵
        Program crash
        
        PID:2664
        
        C:\Windows\SysWOW64\ljcttm.exe
        
        C:\Windows\system32\ljcttm.exe 1232 "C:\Windows\SysWOW64\akqwin.exe"
        21⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:1724
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1724 -s 340
        22⤵
        Program crash
        
        PID:3252
        
        C:\Windows\SysWOW64\ywmrzq.exe
        
        C:\Windows\system32\ywmrzq.exe 1240 "C:\Windows\SysWOW64\ljcttm.exe"
        22⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of WriteProcessMemory
        
        PID:4196
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4196 -s 340
        23⤵
        Program crash
        
        PID:3340
        
        C:\Windows\SysWOW64\ljdhem.exe
        
        C:\Windows\system32\ljdhem.exe 1248 "C:\Windows\SysWOW64\ywmrzq.exe"
        23⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        
        PID:4280
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4280 -s 340
        24⤵
        Program crash
        
        PID:1016
        
        C:\Windows\SysWOW64\yiyjnu.exe
        
        C:\Windows\system32\yiyjnu.exe 1224 "C:\Windows\SysWOW64\ljdhem.exe"
        24⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        
        PID:548
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 548 -s 356
        25⤵
        Program crash
        
        PID:3320
        
        C:\Windows\SysWOW64\ihkhft.exe
        
        C:\Windows\system32\ihkhft.exe 1244 "C:\Windows\SysWOW64\yiyjnu.exe"
        25⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        
        PID:4428
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4428 -s 340
        26⤵
        Program crash
        
        PID:4592
        
        C:\Windows\SysWOW64\vuuxlx.exe
        
        C:\Windows\system32\vuuxlx.exe 1252 "C:\Windows\SysWOW64\ihkhft.exe"
        26⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        
        PID:2384
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2384 -s 340
        27⤵
        Program crash
        
        PID:1424
        
        C:\Windows\SysWOW64\ihlmra.exe
        
        C:\Windows\system32\ihlmra.exe 1264 "C:\Windows\SysWOW64\vuuxlx.exe"
        27⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        
        PID:1760
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1760 -s 340
        28⤵
        Program crash
        
        PID:4368
        
        C:\Windows\SysWOW64\qxzmdq.exe
        
        C:\Windows\system32\qxzmdq.exe 1256 "C:\Windows\SysWOW64\ihlmra.exe"
        28⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        
        PID:1420
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1420 -s 340
        29⤵
        Program crash
        
        PID:3440
        
        C:\Windows\SysWOW64\dkqcju.exe
        
        C:\Windows\system32\dkqcju.exe 1268 "C:\Windows\SysWOW64\qxzmdq.exe"
        29⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        
        PID:2928
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2928 -s 340
        30⤵
        Program crash
        
        PID:2748
        
        C:\Windows\SysWOW64\qxaspq.exe
        
        C:\Windows\system32\qxaspq.exe 1260 "C:\Windows\SysWOW64\dkqcju.exe"
        30⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        
        PID:4332
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4332 -s 340
        31⤵
        Program crash
        
        PID:3512
        
        C:\Windows\SysWOW64\dkrivt.exe
        
        C:\Windows\system32\dkrivt.exe 1272 "C:\Windows\SysWOW64\qxaspq.exe"
        31⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        
        PID:4500
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4500 -s 340
        32⤵
        Program crash
        
        PID:2024
        
        C:\Windows\SysWOW64\nmhsqx.exe
        
        C:\Windows\system32\nmhsqx.exe 1276 "C:\Windows\SysWOW64\dkrivt.exe"
        32⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        
        PID:1720
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1720 -s 340
        33⤵
        Program crash
        
        PID:2648
        
        C:\Windows\SysWOW64\ahyiwa.exe
        
        C:\Windows\system32\ahyiwa.exe 1284 "C:\Windows\SysWOW64\nmhsqx.exe"
        33⤵
        Executes dropped EXE
        
        PID:4876
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4876 -s 340
        34⤵
        Program crash
        
        PID:1012
        
        C:\Windows\SysWOW64\nuixbw.exe
        
        C:\Windows\system32\nuixbw.exe 1280 "C:\Windows\SysWOW64\ahyiwa.exe"
        34⤵
        Executes dropped EXE
        
        PID:2712
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2712 -s 340
        35⤵
        Program crash
        
        PID:1008
        
        C:\Windows\SysWOW64\allake.exe
        
        C:\Windows\system32\allake.exe 1292 "C:\Windows\SysWOW64\nuixbw.exe"
        35⤵
        Executes dropped EXE
        
        PID:2116
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2116 -s 340
        36⤵
        Program crash
        
        PID:4884
        
        C:\Windows\SysWOW64\nyuqqi.exe
        
        C:\Windows\system32\nyuqqi.exe 1288 "C:\Windows\SysWOW64\allake.exe"
        36⤵
        Executes dropped EXE
        
        PID:4496
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4496 -s 340
        37⤵
        Program crash
        
        PID:4996
        
        C:\Windows\SysWOW64\xisadl.exe
        
        C:\Windows\system32\xisadl.exe 1296 "C:\Windows\SysWOW64\nyuqqi.exe"
        37⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:1100
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1100 -s 340
        38⤵
        Program crash
        
        PID:2296
        
        C:\Windows\SysWOW64\njhqem.exe
        
        C:\Windows\system32\njhqem.exe 1304 "C:\Windows\SysWOW64\xisadl.exe"
        38⤵
        Executes dropped EXE
        
        PID:2776
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2776 -s 340
        39⤵
        Program crash
        
        PID:1324
        
        C:\Windows\SysWOW64\yitoxl.exe
        
        C:\Windows\system32\yitoxl.exe 1204 "C:\Windows\SysWOW64\njhqem.exe"
        39⤵
        Executes dropped EXE
        
        PID:3656
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3656 -s 340
        40⤵
        Program crash
        
        PID:1876
        
        C:\Windows\SysWOW64\lhoqft.exe
        
        C:\Windows\system32\lhoqft.exe 1312 "C:\Windows\SysWOW64\yitoxl.exe"
        40⤵
        Executes dropped EXE
        
        PID:208
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 208 -s 340
        41⤵
        Program crash
        
        PID:3436
        
        C:\Windows\SysWOW64\yufglx.exe
        
        C:\Windows\system32\yufglx.exe 1316 "C:\Windows\SysWOW64\lhoqft.exe"
        41⤵
        Executes dropped EXE
        
        PID:1520
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1520 -s 340
        42⤵
        Program crash
        
        PID:4572
        
        C:\Windows\SysWOW64\itjdvw.exe
        
        C:\Windows\system32\itjdvw.exe 1324 "C:\Windows\SysWOW64\yufglx.exe"
        42⤵
        Executes dropped EXE
        
        PID:3832
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3832 -s 340
        43⤵
        Program crash
        
        PID:1644
        
        C:\Windows\SysWOW64\vjegew.exe
        
        C:\Windows\system32\vjegew.exe 1320 "C:\Windows\SysWOW64\itjdvw.exe"
        43⤵
        Executes dropped EXE
        
        PID:2264
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2264 -s 340
        44⤵
        Program crash
        
        PID:3440
        
        C:\Windows\SysWOW64\iewwka.exe
        
        C:\Windows\system32\iewwka.exe 1328 "C:\Windows\SysWOW64\vjegew.exe"
        44⤵
        Executes dropped EXE
        
        PID:2328
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2328 -s 340
        45⤵
        Program crash
        
        PID:2952
        
        C:\Windows\SysWOW64\vrnmqe.exe
        
        C:\Windows\system32\vrnmqe.exe 1308 "C:\Windows\SysWOW64\iewwka.exe"
        45⤵
        Executes dropped EXE
        
        PID:1480
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1480 -s 340
        46⤵
        Program crash
        
        PID:4184
        
        C:\Windows\SysWOW64\frrjic.exe
        
        C:\Windows\system32\frrjic.exe 1332 "C:\Windows\SysWOW64\vrnmqe.exe"
        46⤵
        Executes dropped EXE
        
        PID:3652
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3652 -s 340
        47⤵
        Program crash
        
        PID:408
        
        C:\Windows\SysWOW64\sejhog.exe
        
        C:\Windows\system32\sejhog.exe 1344 "C:\Windows\SysWOW64\frrjic.exe"
        47⤵
        Executes dropped EXE
        
        PID:3476
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3476 -s 340
        48⤵
        Program crash
        
        PID:5044
        
        C:\Windows\SysWOW64\fcejwg.exe
        
        C:\Windows\system32\fcejwg.exe 1336 "C:\Windows\SysWOW64\sejhog.exe"
        48⤵
        Executes dropped EXE
        
        PID:4700
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4700 -s 340
        49⤵
        Program crash
        
        PID:2488
        
        C:\Windows\SysWOW64\kpvzck.exe
        
        C:\Windows\system32\kpvzck.exe 1348 "C:\Windows\SysWOW64\fcejwg.exe"
        49⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2108 -s 340
        50⤵
        Program crash
        
        PID:4972
        
        C:\Windows\SysWOW64\ycfpio.exe
        
        C:\Windows\system32\ycfpio.exe 1360 "C:\Windows\SysWOW64\kpvzck.exe"
        50⤵
        Executes dropped EXE
        
        PID:3464
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3464 -s 340
        51⤵
        Program crash
        
        PID:4960
        
        C:\Windows\SysWOW64\ibrmsn.exe
        
        C:\Windows\system32\ibrmsn.exe 1352 "C:\Windows\SysWOW64\ycfpio.exe"
        51⤵
        Executes dropped EXE
        
        PID:3252
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3252 -s 340
        52⤵
        Program crash
        
        PID:1852
        
        C:\Windows\SysWOW64\savklm.exe
        
        C:\Windows\system32\savklm.exe 1356 "C:\Windows\SysWOW64\ibrmsn.exe"
        52⤵
        Executes dropped EXE
        
        PID:1128
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1128 -s 340
        53⤵
        Program crash
        
        PID:5116
        
        C:\Windows\SysWOW64\indfhr.exe
        
        C:\Windows\system32\indfhr.exe 1368 "C:\Windows\SysWOW64\savklm.exe"
        53⤵
        Executes dropped EXE
        
        PID:4612
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4612 -s 340
        54⤵
        Program crash
        
        PID:2836
        
        C:\Windows\SysWOW64\smhczq.exe
        
        C:\Windows\system32\smhczq.exe 1340 "C:\Windows\SysWOW64\indfhr.exe"
        54⤵
        Executes dropped EXE
        
        PID:4268
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4268 -s 340
        55⤵
        Program crash
        
        PID:748
        
        C:\Windows\SysWOW64\fzzafu.exe
        
        C:\Windows\system32\fzzafu.exe 1372 "C:\Windows\SysWOW64\smhczq.exe"
        55⤵
        Executes dropped EXE
        
        PID:4596
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4596 -s 340
        56⤵
        Program crash
        
        PID:928
        
        C:\Windows\SysWOW64\quskno.exe
        
        C:\Windows\system32\quskno.exe 1376 "C:\Windows\SysWOW64\fzzafu.exe"
        56⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:2684
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2684 -s 340
        57⤵
        Program crash
        
        PID:440
        
        C:\Windows\SysWOW64\dhjats.exe
        
        C:\Windows\system32\dhjats.exe 1380 "C:\Windows\SysWOW64\quskno.exe"
        57⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:3092
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3092 -s 340
        58⤵
        Program crash
        
        PID:3192
        
        C:\Windows\SysWOW64\qgedbs.exe
        
        C:\Windows\system32\qgedbs.exe 1388 "C:\Windows\SysWOW64\dhjats.exe"
        58⤵
        Executes dropped EXE
        
        PID:2356
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2356 -s 340
        59⤵
        Program crash
        
        PID:4240
        
        C:\Windows\SysWOW64\dwhfka.exe
        
        C:\Windows\system32\dwhfka.exe 1364 "C:\Windows\SysWOW64\qgedbs.exe"
        59⤵
        Executes dropped EXE
        
        PID:4516
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4516 -s 340
        60⤵
        Program crash
        
        PID:4340
        
        C:\Windows\SysWOW64\qjqvye.exe
        
        C:\Windows\system32\qjqvye.exe 1392 "C:\Windows\SysWOW64\dwhfka.exe"
        60⤵
        Executes dropped EXE
        
        PID:2560
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2560 -s 340
        61⤵
        Program crash
        
        PID:2896
        
        C:\Windows\SysWOW64\augflh.exe
        
        C:\Windows\system32\augflh.exe 1396 "C:\Windows\SysWOW64\qjqvye.exe"
        61⤵
        Executes dropped EXE
        
        PID:3292
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3292 -s 340
        62⤵
        Program crash
        
        PID:4628
        
        C:\Windows\SysWOW64\nhxvrd.exe
        
        C:\Windows\system32\nhxvrd.exe 1384 "C:\Windows\SysWOW64\augflh.exe"
        62⤵
        Executes dropped EXE
        
        PID:5000
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 5000 -s 340
        63⤵
        Program crash
        
        PID:368
        
        C:\Windows\SysWOW64\aqegud.exe
        
        C:\Windows\system32\aqegud.exe 1400 "C:\Windows\SysWOW64\nhxvrd.exe"
        63⤵
        Executes dropped EXE
        
        PID:1160
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1160 -s 340
        64⤵
        Program crash
        
        PID:2888
        
        C:\Windows\SysWOW64\kttqhg.exe
        
        C:\Windows\system32\kttqhg.exe 1092 "C:\Windows\SysWOW64\aqegud.exe"
        64⤵
        Executes dropped EXE
        
        PID:2168
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2168 -s 340
        65⤵
        Program crash
        
        PID:3616
        
        C:\Windows\SysWOW64\xolgnk.exe
        
        C:\Windows\system32\xolgnk.exe 1412 "C:\Windows\SysWOW64\kttqhg.exe"
        65⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:4960
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4960 -s 340
        66⤵
        
        PID:2020
        
        C:\Windows\SysWOW64\kefjdk.exe
        
        C:\Windows\system32\kefjdk.exe 1420 "C:\Windows\SysWOW64\xolgnk.exe"
        66⤵
        Executes dropped EXE
        
        PID:1524
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1524 -s 340
        67⤵
        
        PID:4172
        
        C:\Windows\SysWOW64\yomlgj.exe
        
        C:\Windows\system32\yomlgj.exe 1416 "C:\Windows\SysWOW64\kefjdk.exe"
        67⤵
        Drops file in System32 directory
        
        PID:3480
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3480 -s 344
        68⤵
        
        PID:2292
        
        C:\Windows\SysWOW64\kehopr.exe
        
        C:\Windows\system32\kehopr.exe 1428 "C:\Windows\SysWOW64\yomlgj.exe"
        68⤵
        
        PID:4952
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4952 -s 340
        69⤵
        
        PID:3716
        
        C:\Windows\SysWOW64\upwycu.exe
        
        C:\Windows\system32\upwycu.exe 1440 "C:\Windows\SysWOW64\kehopr.exe"
        69⤵
        
        PID:2808
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2808 -s 340
        70⤵
        
        PID:1592
        
        C:\Windows\SysWOW64\icnoiy.exe
        
        C:\Windows\system32\icnoiy.exe 1408 "C:\Windows\SysWOW64\upwycu.exe"
        70⤵
        
        PID:4568
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4568 -s 344
        71⤵
        
        PID:1604
        
        C:\Windows\SysWOW64\syogpt.exe
        
        C:\Windows\system32\syogpt.exe 1432 "C:\Windows\SysWOW64\icnoiy.exe"
        71⤵
        
        PID:844
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 844 -s 340
        72⤵
        
        PID:1508
        
        C:\Windows\SysWOW64\flywvp.exe
        
        C:\Windows\system32\flywvp.exe 1424 "C:\Windows\SysWOW64\syogpt.exe"
        72⤵
        
        PID:2372
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2372 -s 340
        73⤵
        
        PID:452
        
        C:\Windows\SysWOW64\sjbzmx.exe
        
        C:\Windows\system32\sjbzmx.exe 1444 "C:\Windows\SysWOW64\flywvp.exe"
        73⤵
        
        PID:3724
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3724 -s 344
        74⤵
        
        PID:4340
        
        C:\Windows\SysWOW64\fwkpsb.exe
        
        C:\Windows\system32\fwkpsb.exe 1448 "C:\Windows\SysWOW64\sjbzmx.exe"
        74⤵
        
        PID:2204
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2204 -s 340
        75⤵
        
        PID:3744
        
        C:\Windows\SysWOW64\sjcexe.exe
        
        C:\Windows\system32\sjcexe.exe 1452 "C:\Windows\SysWOW64\fwkpsb.exe"
        75⤵
        Drops file in System32 directory
        
        PID:4276
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4276 -s 340
        76⤵
        
        PID:1608
        
        C:\Windows\SysWOW64\cmrpla.exe
        
        C:\Windows\system32\cmrpla.exe 1456 "C:\Windows\SysWOW64\sjcexe.exe"
        76⤵
        
        PID:3648
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3648 -s 340
        77⤵
        
        PID:3560
        
        C:\Windows\SysWOW64\phjeqd.exe
        
        C:\Windows\system32\phjeqd.exe 1460 "C:\Windows\SysWOW64\cmrpla.exe"
        77⤵
        
        PID:4828
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4828 -s 340
        78⤵
        
        PID:3556
        
        C:\Windows\SysWOW64\cxehzm.exe
        
        C:\Windows\system32\cxehzm.exe 1436 "C:\Windows\SysWOW64\phjeqd.exe"
        78⤵
        
        PID:1680
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1680 -s 340
        79⤵
        
        PID:4024
        
        C:\Windows\SysWOW64\pkvxfp.exe
        
        C:\Windows\system32\pkvxfp.exe 1472 "C:\Windows\SysWOW64\cxehzm.exe"
        79⤵
        
        PID:2120
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2120 -s 344
        80⤵
        
        PID:1748
        
        C:\Windows\SysWOW64\dxfmll.exe
        
        C:\Windows\system32\dxfmll.exe 1464 "C:\Windows\SysWOW64\pkvxfp.exe"
        80⤵
        
        PID:2184
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2184 -s 340
        81⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\miuxgo.exe
        
        C:\Windows\system32\miuxgo.exe 1476 "C:\Windows\SysWOW64\dxfmll.exe"
        81⤵
        
        PID:2516
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2516 -s 340
        82⤵
        
        PID:3600
        
        C:\Windows\SysWOW64\araijo.exe
        
        C:\Windows\system32\araijo.exe 1484 "C:\Windows\SysWOW64\miuxgo.exe"
        82⤵
        
        PID:2200
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2200 -s 340
        83⤵
        
        PID:2620
        
        C:\Windows\SysWOW64\nivkrw.exe
        
        C:\Windows\system32\nivkrw.exe 1480 "C:\Windows\SysWOW64\araijo.exe"
        83⤵
        
        PID:740
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 740 -s 340
        84⤵
        
        PID:4956
        
        C:\Windows\SysWOW64\avnaxa.exe
        
        C:\Windows\system32\avnaxa.exe 1492 "C:\Windows\SysWOW64\nivkrw.exe"
        84⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2456 -s 344
        85⤵
        
        PID:2000
        
        C:\Windows\SysWOW64\kuzxiz.exe
        
        C:\Windows\system32\kuzxiz.exe 1496 "C:\Windows\SysWOW64\avnaxa.exe"
        85⤵
        
        PID:988
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 988 -s 340
        86⤵
        
        PID:440
        
        C:\Windows\SysWOW64\xpinnv.exe
        
        C:\Windows\system32\xpinnv.exe 1488 "C:\Windows\SysWOW64\kuzxiz.exe"
        86⤵
        
        PID:880
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 880 -s 340
        87⤵
        
        PID:4812
        
        C:\Windows\SysWOW64\kcadty.exe
        
        C:\Windows\system32\kcadty.exe 1504 "C:\Windows\SysWOW64\xpinnv.exe"
        87⤵
        
        PID:736
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 736 -s 340
        88⤵
        
        PID:1716
        
        C:\Windows\SysWOW64\uepnoc.exe
        
        C:\Windows\system32\uepnoc.exe 1500 "C:\Windows\SysWOW64\kcadty.exe"
        88⤵
        System Location Discovery: System Language Discovery
        
        PID:1328
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1328 -s 340
        89⤵
        
        PID:2616
        
        C:\Windows\SysWOW64\hdkqxk.exe
        
        C:\Windows\system32\hdkqxk.exe 1512 "C:\Windows\SysWOW64\uepnoc.exe"
        89⤵
        
        PID:408
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 408 -s 340
        90⤵
        
        PID:1784
        
        C:\Windows\SysWOW64\uqcgdg.exe
        
        C:\Windows\system32\uqcgdg.exe 1508 "C:\Windows\SysWOW64\hdkqxk.exe"
        90⤵
        System Location Discovery: System Language Discovery
        
        PID:4456
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4456 -s 340
        91⤵
        
        PID:4620
        
        C:\Windows\SysWOW64\idlvjj.exe
        
        C:\Windows\system32\idlvjj.exe 1516 "C:\Windows\SysWOW64\uqcgdg.exe"
        91⤵
        System Location Discovery: System Language Discovery
        
        PID:4972
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4972 -s 340
        92⤵
        
        PID:2008
        
        C:\Windows\SysWOW64\vqdton.exe
        
        C:\Windows\system32\vqdton.exe 1520 "C:\Windows\SysWOW64\idlvjj.exe"
        92⤵
        
        PID:1916
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1916 -s 340
        93⤵
        
        PID:1192
        
        C:\Windows\SysWOW64\fbsdcq.exe
        
        C:\Windows\system32\fbsdcq.exe 1524 "C:\Windows\SysWOW64\vqdton.exe"
        93⤵
        
        PID:1852
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1852 -s 340
        94⤵
        
        PID:4624
        
        C:\Windows\SysWOW64\vbpldr.exe
        
        C:\Windows\system32\vbpldr.exe 1468 "C:\Windows\SysWOW64\fbsdcq.exe"
        94⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2716 -s 340
        95⤵
        
        PID:2444
        
        C:\Windows\SysWOW64\ujlexp.exe
        
        C:\Windows\system32\ujlexp.exe 1196 "C:\Windows\SysWOW64\vbpldr.exe"
        95⤵
        
        PID:1696
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1696 -s 340
        96⤵
        
        PID:2172
        
        C:\Windows\SysWOW64\kolzbu.exe
        
        C:\Windows\system32\kolzbu.exe 1532 "C:\Windows\SysWOW64\ujlexp.exe"
        96⤵
        
        PID:852
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 852 -s 344
        97⤵
        
        PID:1592
        
        C:\Windows\SysWOW64\unpwlt.exe
        
        C:\Windows\system32\unpwlt.exe 1536 "C:\Windows\SysWOW64\kolzbu.exe"
        97⤵
        
        PID:624
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 624 -s 340
        98⤵
        
        PID:1668
        
        C:\Windows\SysWOW64\higmrw.exe
        
        C:\Windows\system32\higmrw.exe 1540 "C:\Windows\SysWOW64\unpwlt.exe"
        98⤵
        
        PID:1644
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1644 -s 340
        99⤵
        
        PID:664
        
        C:\Windows\SysWOW64\vvyjxs.exe
        
        C:\Windows\system32\vvyjxs.exe 1552 "C:\Windows\SysWOW64\higmrw.exe"
        99⤵
        
        PID:1588
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1588 -s 340
        100⤵
        
        PID:1216
        
        C:\Windows\SysWOW64\exnusv.exe
        
        C:\Windows\system32\exnusv.exe 1544 "C:\Windows\SysWOW64\vvyjxs.exe"
        100⤵
        Drops file in System32 directory
        
        PID:2224
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2224 -s 340
        101⤵
        
        PID:3548
        
        C:\Windows\SysWOW64\skxkyz.exe
        
        C:\Windows\system32\skxkyz.exe 1556 "C:\Windows\SysWOW64\exnusv.exe"
        101⤵
        Drops file in System32 directory
        
        PID:1828
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1828 -s 340
        102⤵
        
        PID:4384
        
        C:\Windows\SysWOW64\ffozed.exe
        
        C:\Windows\system32\ffozed.exe 1564 "C:\Windows\SysWOW64\skxkyz.exe"
        102⤵
        
        PID:468
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 468 -s 340
        103⤵
        
        PID:2492
        
        C:\Windows\SysWOW64\ssgpkh.exe
        
        C:\Windows\system32\ssgpkh.exe 1560 "C:\Windows\SysWOW64\ffozed.exe"
        103⤵
        Drops file in System32 directory
        
        PID:3588
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3588 -s 340
        104⤵
        
        PID:4316
        
        C:\Windows\SysWOW64\cvvzxk.exe
        
        C:\Windows\system32\cvvzxk.exe 1548 "C:\Windows\SysWOW64\ssgpkh.exe"
        104⤵
        
        PID:4312
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4312 -s 344
        105⤵
        
        PID:2736
        
        C:\Windows\SysWOW64\pifpdg.exe
        
        C:\Windows\system32\pifpdg.exe 1572 "C:\Windows\SysWOW64\cvvzxk.exe"
        105⤵
        
        PID:3484
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3484 -s 340
        106⤵
        
        PID:1192
        
        C:\Windows\SysWOW64\cdwfik.exe
        
        C:\Windows\system32\cdwfik.exe 1580 "C:\Windows\SysWOW64\pifpdg.exe"
        106⤵
        
        PID:1856
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1856 -s 340
        107⤵
        
        PID:4624
        
        C:\Windows\SysWOW64\pxduuw.exe
        
        C:\Windows\system32\pxduuw.exe 1576 "C:\Windows\SysWOW64\cdwfik.exe"
        107⤵
        Drops file in System32 directory
        
        PID:4488
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4488 -s 340
        108⤵
        
        PID:2296
        
        C:\Windows\SysWOW64\cgjxxo.exe
        
        C:\Windows\system32\cgjxxo.exe 1568 "C:\Windows\SysWOW64\pxduuw.exe"
        108⤵
        
        PID:3212
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3212 -s 348
        109⤵
        
        PID:320
        
        C:\Windows\SysWOW64\mryisr.exe
        
        C:\Windows\system32\mryisr.exe 1592 "C:\Windows\SysWOW64\cgjxxo.exe"
        109⤵
        
        PID:5088
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 5088 -s 340
        110⤵
        
        PID:3604
        
        C:\Windows\SysWOW64\zeqfyv.exe
        
        C:\Windows\system32\zeqfyv.exe 1596 "C:\Windows\SysWOW64\mryisr.exe"
        110⤵
        
        PID:2028
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2028 -s 340
        111⤵
        
        PID:2176
        
        C:\Windows\SysWOW64\nnwibu.exe
        
        C:\Windows\system32\nnwibu.exe 1600 "C:\Windows\SysWOW64\zeqfyv.exe"
        111⤵
        System Location Discovery: System Language Discovery
        
        PID:416
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 416 -s 340
        112⤵
        
        PID:1504
        
        C:\Windows\SysWOW64\aerlkc.exe
        
        C:\Windows\system32\aerlkc.exe 1588 "C:\Windows\SysWOW64\nnwibu.exe"
        112⤵
        
        PID:4592
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4592 -s 340
        113⤵
        
        PID:2728
        
        C:\Windows\SysWOW64\kpgvxy.exe
        
        C:\Windows\system32\kpgvxy.exe 1604 "C:\Windows\SysWOW64\aerlkc.exe"
        113⤵
        
        PID:3940
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3940 -s 340
        114⤵
        
        PID:984
        
        C:\Windows\SysWOW64\xcyldb.exe
        
        C:\Windows\system32\xcyldb.exe 1584 "C:\Windows\SysWOW64\kpgvxy.exe"
        114⤵
        
        PID:872
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 872 -s 344
        115⤵
        
        PID:1620
        
        C:\Windows\SysWOW64\hunqpr.exe
        
        C:\Windows\system32\hunqpr.exe 1612 "C:\Windows\SysWOW64\xcyldb.exe"
        115⤵
        
        PID:4980
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4980 -s 340
        116⤵
        
        PID:2616
        
        C:\Windows\SysWOW64\xczqwj.exe
        
        C:\Windows\system32\xczqwj.exe 1616 "C:\Windows\SysWOW64\hunqpr.exe"
        116⤵
        
        PID:620
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 620 -s 340
        117⤵
        
        PID:2348
        
        C:\Windows\SysWOW64\hmobjm.exe
        
        C:\Windows\system32\hmobjm.exe 1620 "C:\Windows\SysWOW64\xczqwj.exe"
        117⤵
        Drops file in System32 directory
        
        PID:1428
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1428 -s 340
        118⤵
        
        PID:4508
        
        C:\Windows\SysWOW64\uzgqpi.exe
        
        C:\Windows\system32\uzgqpi.exe 1628 "C:\Windows\SysWOW64\hmobjm.exe"
        118⤵
        
        PID:2260
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2260 -s 340
        119⤵
        
        PID:4204
        
        C:\Windows\SysWOW64\hjmbsi.exe
        
        C:\Windows\system32\hjmbsi.exe 1624 "C:\Windows\SysWOW64\uzgqpi.exe"
        119⤵
        
        PID:1008
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1008 -s 340
        120⤵
        
        PID:1820
        
        C:\Windows\SysWOW64\uzhebq.exe
        
        C:\Windows\system32\uzhebq.exe 1632 "C:\Windows\SysWOW64\hjmbsi.exe"
        120⤵
        Drops file in System32 directory
        
        PID:1960
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1960 -s 340
        121⤵
        
        PID:2280
        
        C:\Windows\SysWOW64\ekwoot.exe
        
        C:\Windows\system32\ekwoot.exe 1608 "C:\Windows\SysWOW64\uzhebq.exe"
        121⤵
        
        PID:4860
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4860 -s 340
        122⤵
        
        PID:5020
        
        C:\Windows\SysWOW64\rxoecx.exe
        
        C:\Windows\system32\rxoecx.exe 1640 "C:\Windows\SysWOW64\ekwoot.exe"
        122⤵
        
        PID:3600
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3600 -s 340
        123⤵
        
        PID:2036
        
        C:\Windows\SysWOW64\fkxtis.exe
        
        C:\Windows\system32\fkxtis.exe 1636 "C:\Windows\SysWOW64\rxoecx.exe"
        123⤵
        
        PID:628
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 628 -s 340
        124⤵
        
        PID:2304
        
        C:\Windows\SysWOW64\sxpjnw.exe
        
        C:\Windows\system32\sxpjnw.exe 1648 "C:\Windows\SysWOW64\fkxtis.exe"
        124⤵
        
        PID:1424
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1424 -s 344
        125⤵
        
        PID:4540
        
        C:\Windows\SysWOW64\cheubz.exe
        
        C:\Windows\system32\cheubz.exe 1656 "C:\Windows\SysWOW64\sxpjnw.exe"
        125⤵
        
        PID:2952
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2952 -s 340
        126⤵
        
        PID:1920
        
        C:\Windows\SysWOW64\puwjgd.exe
        
        C:\Windows\system32\puwjgd.exe 1652 "C:\Windows\SysWOW64\cheubz.exe"
        126⤵
        System Location Discovery: System Language Discovery
        
        PID:2500
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2500 -s 340
        127⤵
        
        PID:4340
        
        C:\Windows\SysWOW64\chfzmz.exe
        
        C:\Windows\system32\chfzmz.exe 1644 "C:\Windows\SysWOW64\puwjgd.exe"
        127⤵
        
        PID:1236
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1236 -s 340
        128⤵
        
        PID:2024
        
        C:\Windows\SysWOW64\pyicvh.exe
        
        C:\Windows\system32\pyicvh.exe 1664 "C:\Windows\SysWOW64\chfzmz.exe"
        128⤵
        
        PID:568
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 568 -s 340
        129⤵
        
        PID:3080
        
        C:\Windows\SysWOW64\zfmhng.exe
        
        C:\Windows\system32\zfmhng.exe 1660 "C:\Windows\SysWOW64\pyicvh.exe"
        129⤵
        
        PID:2648
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2648 -s 340
        130⤵
        
        PID:4708
        
        C:\Windows\SysWOW64\msextk.exe
        
        C:\Windows\system32\msextk.exe 1672 "C:\Windows\SysWOW64\zfmhng.exe"
        130⤵
        
        PID:2008
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2008 -s 340
        131⤵
        
        PID:4024
        
        C:\Windows\SysWOW64\zfnnzo.exe
        
        C:\Windows\system32\zfnnzo.exe 1668 "C:\Windows\SysWOW64\msextk.exe"
        131⤵
        
        PID:3616
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3616 -s 340
        132⤵
        
        PID:1556
        
        C:\Windows\SysWOW64\nsfcfk.exe
        
        C:\Windows\system32\nsfcfk.exe 1676 "C:\Windows\SysWOW64\zfnnzo.exe"
        132⤵
        Drops file in System32 directory
        
        PID:4392
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4392 -s 340
        133⤵
        
        PID:4492
        
        C:\Windows\SysWOW64\wcunsn.exe
        
        C:\Windows\system32\wcunsn.exe 1684 "C:\Windows\SysWOW64\nsfcfk.exe"
        133⤵
        
        PID:4172
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4172 -s 340
        134⤵
        
        PID:2176
        
        C:\Windows\SysWOW64\kpmcyr.exe
        
        C:\Windows\system32\kpmcyr.exe 1688 "C:\Windows\SysWOW64\wcunsn.exe"
        134⤵
        
        PID:640
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 640 -s 340
        135⤵
        
        PID:1504
        
        C:\Windows\SysWOW64\xzknbq.exe
        
        C:\Windows\system32\xzknbq.exe 1680 "C:\Windows\SysWOW64\kpmcyr.exe"
        135⤵
        
        PID:3384
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3384 -s 340
        136⤵
        
        PID:2908
        
        C:\Windows\SysWOW64\kpnqjq.exe
        
        C:\Windows\system32\kpnqjq.exe 1692 "C:\Windows\SysWOW64\xzknbq.exe"
        136⤵
        System Location Discovery: System Language Discovery
        
        PID:212
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 212 -s 340
        137⤵
        
        PID:1848
        
        C:\Windows\SysWOW64\uprncp.exe
        
        C:\Windows\system32\uprncp.exe 1700 "C:\Windows\SysWOW64\kpnqjq.exe"
        137⤵
        
        PID:1716
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1716 -s 340
        138⤵
        
        PID:3684
        
        C:\Windows\SysWOW64\hnuqkx.exe
        
        C:\Windows\system32\hnuqkx.exe 1708 "C:\Windows\SysWOW64\uprncp.exe"
        138⤵
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:5072
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 5072 -s 340
        139⤵
        
        PID:4800
        
        C:\Windows\SysWOW64\uaegqb.exe
        
        C:\Windows\system32\uaegqb.exe 1696 "C:\Windows\SysWOW64\hnuqkx.exe"
        139⤵
        
        PID:2012
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2012 -s 340
        140⤵
        
        PID:4372
        
        C:\Windows\SysWOW64\znvvwf.exe
        
        C:\Windows\system32\znvvwf.exe 1704 "C:\Windows\SysWOW64\uaegqb.exe"
        140⤵
        
        PID:4328
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4328 -s 340
        141⤵
        
        PID:5044
        
        C:\Windows\SysWOW64\jmztge.exe
        
        C:\Windows\system32\jmztge.exe 1716 "C:\Windows\SysWOW64\znvvwf.exe"
        141⤵
        Drops file in System32 directory
        
        PID:1764
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1764 -s 340
        142⤵
        
        PID:3280
        
        C:\Windows\SysWOW64\xzrima.exe
        
        C:\Windows\system32\xzrima.exe 1724 "C:\Windows\SysWOW64\jmztge.exe"
        142⤵
        Drops file in System32 directory
        
        PID:5060
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 5060 -s 340
        143⤵
        
        PID:5064
        
        C:\Windows\SysWOW64\kuaysd.exe
        
        C:\Windows\system32\kuaysd.exe 1728 "C:\Windows\SysWOW64\xzrima.exe"
        143⤵
        System Location Discovery: System Language Discovery
        
        PID:1484
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1484 -s 340
        144⤵
        
        PID:396
        
        C:\Windows\SysWOW64\xldbim.exe
        
        C:\Windows\system32\xldbim.exe 1732 "C:\Windows\SysWOW64\kuaysd.exe"
        144⤵
        
        PID:2708
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2708 -s 340
        145⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\hkhgtk.exe
        
        C:\Windows\system32\hkhgtk.exe 1720 "C:\Windows\SysWOW64\xldbim.exe"
        145⤵
        
        PID:2660
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2660 -s 356
        146⤵
        
        PID:4060
        
        C:\Windows\SysWOW64\uxzwzg.exe
        
        C:\Windows\system32\uxzwzg.exe 1736 "C:\Windows\SysWOW64\hkhgtk.exe"
        146⤵
        
        PID:1256
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1256 -s 340
        147⤵
        
        PID:840
        
        C:\Windows\SysWOW64\eedtjf.exe
        
        C:\Windows\system32\eedtjf.exe 1712 "C:\Windows\SysWOW64\uxzwzg.exe"
        147⤵
        
        PID:3360
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3360 -s 340
        148⤵
        
        PID:2352
        
        C:\Windows\SysWOW64\rugwsn.exe
        
        C:\Windows\system32\rugwsn.exe 1740 "C:\Windows\SysWOW64\eedtjf.exe"
        148⤵
        
        PID:5012
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 5012 -s 344
        149⤵
        
        PID:2596
        
        C:\Windows\SysWOW64\etbzav.exe
        
        C:\Windows\system32\etbzav.exe 1744 "C:\Windows\SysWOW64\rugwsn.exe"
        149⤵
        
        PID:2024
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2024 -s 344
        150⤵
        
        PID:984
        
        C:\Windows\SysWOW64\ruhbdv.exe
        
        C:\Windows\system32\ruhbdv.exe 1748 "C:\Windows\SysWOW64\etbzav.exe"
        150⤵
        
        PID:4048
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4048 -s 340
        151⤵
        
        PID:4628
        
        C:\Windows\SysWOW64\fpqrrr.exe
        
        C:\Windows\system32\fpqrrr.exe 1756 "C:\Windows\SysWOW64\ruhbdv.exe"
        151⤵
        
        PID:1304
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1304 -s 340
        152⤵
        
        PID:2096
        
        C:\Windows\SysWOW64\osgceu.exe
        
        C:\Windows\system32\osgceu.exe 1760 "C:\Windows\SysWOW64\fpqrrr.exe"
        152⤵
        Drops file in System32 directory
        
        PID:2732
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2732 -s 340
        153⤵
        
        PID:4836
        
        C:\Windows\SysWOW64\cfxrky.exe
        
        C:\Windows\system32\cfxrky.exe 1764 "C:\Windows\SysWOW64\osgceu.exe"
        153⤵
        System Location Discovery: System Language Discovery
        
        PID:5116
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 5116 -s 340
        154⤵
        
        PID:396
        
        C:\Windows\SysWOW64\mmjxuw.exe
        
        C:\Windows\system32\mmjxuw.exe 1768 "C:\Windows\SysWOW64\cfxrky.exe"
        154⤵
        
        PID:4992
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4992 -s 340
        155⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\cnyfwf.exe
        
        C:\Windows\system32\cnyfwf.exe 1772 "C:\Windows\SysWOW64\mmjxuw.exe"
        155⤵
        
        PID:1860
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1860 -s 340
        156⤵
        
        PID:4060
        
        C:\Windows\SysWOW64\mmlcgw.exe
        
        C:\Windows\system32\mmlcgw.exe 1752 "C:\Windows\SysWOW64\cnyfwf.exe"
        156⤵
        
        PID:3528
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3528 -s 340
        157⤵
        
        PID:840
        
        C:\Windows\SysWOW64\zzusua.exe
        
        C:\Windows\system32\zzusua.exe 1776 "C:\Windows\SysWOW64\mmlcgw.exe"
        157⤵
        
        PID:3520
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3520 -s 340
        158⤵
        
        PID:4136
        
        C:\Windows\SysWOW64\mqxuci.exe
        
        C:\Windows\system32\mqxuci.exe 1780 "C:\Windows\SysWOW64\zzusua.exe"
        158⤵
        
        PID:3452
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3452 -s 340
        159⤵
        
        PID:1656
        
        C:\Windows\SysWOW64\wxbsnh.exe
        
        C:\Windows\system32\wxbsnh.exe 1172 "C:\Windows\SysWOW64\mqxuci.exe"
        159⤵
        System Location Discovery: System Language Discovery
        
        PID:4316
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4316 -s 340
        160⤵
        
        PID:5008
        
        C:\Windows\SysWOW64\jktitl.exe
        
        C:\Windows\system32\jktitl.exe 1788 "C:\Windows\SysWOW64\wxbsnh.exe"
        160⤵
        
        PID:1264
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1264 -s 340
        161⤵
        
        PID:4808
        
        C:\Windows\SysWOW64\xxcfyh.exe
        
        C:\Windows\system32\xxcfyh.exe 1792 "C:\Windows\SysWOW64\jktitl.exe"
        161⤵
        
        PID:2888
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2888 -s 340
        162⤵
        
        PID:2664
        
        C:\Windows\SysWOW64\knfahp.exe
        
        C:\Windows\system32\knfahp.exe 1804 "C:\Windows\SysWOW64\xxcfyh.exe"
        162⤵
        
        PID:2960
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2960 -s 340
        163⤵
        
        PID:2300
        
        C:\Windows\SysWOW64\uujfan.exe
        
        C:\Windows\system32\uujfan.exe 1200 "C:\Windows\SysWOW64\knfahp.exe"
        163⤵
        
        PID:3740
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3740 -s 340
        164⤵
        
        PID:1528
        
        C:\Windows\SysWOW64\kzrawt.exe
        
        C:\Windows\system32\kzrawt.exe 1808 "C:\Windows\SysWOW64\uujfan.exe"
        164⤵
        
        PID:1288
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1288 -s 340
        165⤵
        
        PID:4492
        
        C:\Windows\SysWOW64\uyvyor.exe
        
        C:\Windows\system32\uyvyor.exe 1812 "C:\Windows\SysWOW64\kzrawt.exe"
        165⤵
        
        PID:840
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 840 -s 344
        166⤵
        
        PID:4856
        
        C:\Windows\SysWOW64\exavyq.exe
        
        C:\Windows\system32\exavyq.exe 1816 "C:\Windows\SysWOW64\uyvyor.exe"
        166⤵
        
        PID:2936
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2936 -s 344
        167⤵
        
        PID:2408
        
        C:\Windows\SysWOW64\rggybq.exe
        
        C:\Windows\system32\rggybq.exe 1824 "C:\Windows\SysWOW64\exavyq.exe"
        167⤵
        
        PID:3184
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3184 -s 340
        168⤵
        
        PID:244
        
        C:\Windows\SysWOW64\hwzgih.exe
        
        C:\Windows\system32\hwzgih.exe 1800 "C:\Windows\SysWOW64\rggybq.exe"
        168⤵
        System Location Discovery: System Language Discovery
        
        PID:2748
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2748 -s 340
        169⤵
        
        PID:4180
        
        C:\Windows\SysWOW64\rvddtg.exe
        
        C:\Windows\system32\rvddtg.exe 1820 "C:\Windows\SysWOW64\hwzgih.exe"
        169⤵
        
        PID:4924
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4924 -s 344
        170⤵
        
        PID:936
        
        C:\Windows\SysWOW64\euygbg.exe
        
        C:\Windows\system32\euygbg.exe 1828 "C:\Windows\SysWOW64\rvddtg.exe"
        170⤵
        
        PID:3024
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3024 -s 340
        171⤵
        
        PID:5052
        
        C:\Windows\SysWOW64\rdfreg.exe
        
        C:\Windows\system32\rdfreg.exe 1836 "C:\Windows\SysWOW64\euygbg.exe"
        171⤵
        
        PID:1740
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1740 -s 340
        172⤵
        
        PID:4672
        
        C:\Windows\SysWOW64\bgutzj.exe
        
        C:\Windows\system32\bgutzj.exe 1840 "C:\Windows\SysWOW64\rdfreg.exe"
        172⤵
        
        PID:3244
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3244 -s 340
        173⤵
        
        PID:3716
        
        C:\Windows\SysWOW64\ppaeci.exe
        
        C:\Windows\system32\ppaeci.exe 1832 "C:\Windows\SysWOW64\bgutzj.exe"
        173⤵
        
        PID:3084
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3084 -s 344
        174⤵
        
        PID:324
        
        C:\Windows\SysWOW64\cgdhlj.exe
        
        C:\Windows\system32\cgdhlj.exe 1844 "C:\Windows\SysWOW64\ppaeci.exe"
        174⤵
        
        PID:436
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 436 -s 340
        175⤵
        
        PID:4604
        
        C:\Windows\SysWOW64\peyjur.exe
        
        C:\Windows\system32\peyjur.exe 1852 "C:\Windows\SysWOW64\cgdhlj.exe"
        175⤵
        
        PID:5036
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 5036 -s 340
        176⤵
        
        PID:1532
        
        C:\Windows\SysWOW64\crpzzv.exe
        
        C:\Windows\system32\crpzzv.exe 1848 "C:\Windows\SysWOW64\peyjur.exe"
        176⤵
        
        PID:5016
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 5016 -s 340
        177⤵
        
        PID:1248
        
        C:\Windows\SysWOW64\mqtwkt.exe
        
        C:\Windows\system32\mqtwkt.exe 1860 "C:\Windows\SysWOW64\crpzzv.exe"
        177⤵
        Drops file in System32 directory
        
        PID:4208
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4208 -s 340
        178⤵
        
        PID:5096
        
        C:\Windows\SysWOW64\zdlmqx.exe
        
        C:\Windows\system32\zdlmqx.exe 1856 "C:\Windows\SysWOW64\mqtwkt.exe"
        178⤵
        
        PID:2236
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2236 -s 340
        179⤵
        
        PID:3328
        
        C:\Windows\SysWOW64\myvcdt.exe
        
        C:\Windows\system32\myvcdt.exe 1868 "C:\Windows\SysWOW64\zdlmqx.exe"
        179⤵
        
        PID:2036
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2036 -s 340
        180⤵
        
        PID:2488
        
        C:\Windows\SysWOW64\wbkmrw.exe
        
        C:\Windows\system32\wbkmrw.exe 1872 "C:\Windows\SysWOW64\myvcdt.exe"
        180⤵
        
        PID:1748
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1748 -s 340
        181⤵
        
        PID:4416
        
        C:\Windows\SysWOW64\jockwa.exe
        
        C:\Windows\system32\jockwa.exe 1876 "C:\Windows\SysWOW64\wbkmrw.exe"
        181⤵
        
        PID:3512
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3512 -s 340
        182⤵
        
        PID:1668
        
        C:\Windows\SysWOW64\wnwffi.exe
        
        C:\Windows\system32\wnwffi.exe 1880 "C:\Windows\SysWOW64\jockwa.exe"
        182⤵
        
        PID:4892
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4892 -s 340
        183⤵
        
        PID:4912
        
        C:\Windows\SysWOW64\jaocle.exe
        
        C:\Windows\system32\jaocle.exe 1864 "C:\Windows\SysWOW64\wnwffi.exe"
        183⤵
        
        PID:3088
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3088 -s 340
        184⤵
        
        PID:1848
        
        C:\Windows\SysWOW64\uzsadd.exe
        
        C:\Windows\system32\uzsadd.exe 1884 "C:\Windows\SysWOW64\jaocle.exe"
        184⤵
        
        PID:2596
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2596 -s 340
        185⤵
        
        PID:5068
        
        C:\Windows\SysWOW64\gpvcml.exe
        
        C:\Windows\system32\gpvcml.exe 1888 "C:\Windows\SysWOW64\uzsadd.exe"
        185⤵
        
        PID:848
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 848 -s 340
        186⤵
        
        PID:3672
        
        C:\Windows\SysWOW64\mkessp.exe
        
        C:\Windows\system32\mkessp.exe 1892 "C:\Windows\SysWOW64\gpvcml.exe"
        186⤵
        
        PID:4264
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4264 -s 340
        187⤵
        
        PID:4920
        
        C:\Windows\SysWOW64\zxwixt.exe
        
        C:\Windows\system32\zxwixt.exe 1900 "C:\Windows\SysWOW64\mkessp.exe"
        187⤵
        
        PID:1556
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1556 -s 340
        188⤵
        
        PID:2176
        
        C:\Windows\SysWOW64\mkfydp.exe
        
        C:\Windows\system32\mkfydp.exe 1912 "C:\Windows\SysWOW64\zxwixt.exe"
        188⤵
        
        PID:452
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 452 -s 340
        189⤵
        
        PID:3444
        
        C:\Windows\SysWOW64\wndiqs.exe
        
        C:\Windows\system32\wndiqs.exe 1796 "C:\Windows\SysWOW64\mkfydp.exe"
        189⤵
        Drops file in System32 directory
        
        PID:400
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 400 -s 340
        190⤵
        
        PID:4552
        
        C:\Windows\SysWOW64\jimywv.exe
        
        C:\Windows\system32\jimywv.exe 1904 "C:\Windows\SysWOW64\wndiqs.exe"
        190⤵
        
        PID:4284
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4284 -s 340
        191⤵
        
        PID:4484
        
        C:\Windows\SysWOW64\wvencz.exe
        
        C:\Windows\system32\wvencz.exe 1916 "C:\Windows\SysWOW64\jimywv.exe"
        191⤵
        System Location Discovery: System Language Discovery
        
        PID:2096
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2096 -s 340
        192⤵
        
        PID:3116
        
        C:\Windows\SysWOW64\jinliv.exe
        
        C:\Windows\system32\jinliv.exe 1920 "C:\Windows\SysWOW64\wvencz.exe"
        192⤵
        
        PID:1952
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1952 -s 340
        193⤵
        
        PID:936
        
        C:\Windows\SysWOW64\thaiau.exe
        
        C:\Windows\system32\thaiau.exe 1924 "C:\Windows\SysWOW64\jinliv.exe"
        193⤵
        System Location Discovery: System Language Discovery
        
        PID:368
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 368 -s 340
        194⤵
        
        PID:4708
        
        C:\Windows\SysWOW64\gfuljc.exe
        
        C:\Windows\system32\gfuljc.exe 1932 "C:\Windows\SysWOW64\thaiau.exe"
        194⤵
        
        PID:4416
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4416 -s 340
        195⤵
        
        PID:2004
        
        C:\Windows\SysWOW64\usmbpg.exe
        
        C:\Windows\system32\usmbpg.exe 1908 "C:\Windows\SysWOW64\gfuljc.exe"
        195⤵
        System Location Discovery: System Language Discovery
        
        PID:3716
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3716 -s 340
        196⤵
        
        PID:4572
        
        C:\Windows\SysWOW64\hfwruk.exe
        
        C:\Windows\system32\hfwruk.exe 1404 "C:\Windows\SysWOW64\usmbpg.exe"
        196⤵
        
        PID:2000
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2000 -s 340
        197⤵
        
        PID:3316
        
        C:\Windows\SysWOW64\ritbin.exe
        
        C:\Windows\system32\ritbin.exe 1940 "C:\Windows\SysWOW64\hfwruk.exe"
        197⤵
        
        PID:3080
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3080 -s 340
        198⤵
        
        PID:432
        
        C:\Windows\SysWOW64\hjijjo.exe
        
        C:\Windows\system32\hjijjo.exe 1944 "C:\Windows\SysWOW64\ritbin.exe"
        198⤵
        
        PID:2124
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2124 -s 340
        199⤵
        
        PID:5096
        
        C:\Windows\SysWOW64\rejbqi.exe
        
        C:\Windows\system32\rejbqi.exe 1928 "C:\Windows\SysWOW64\hjijjo.exe"
        199⤵
        System Location Discovery: System Language Discovery
        
        PID:5008
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 5008 -s 340
        200⤵
        
        PID:3688
        
        C:\Windows\SysWOW64\bpymml.exe
        
        C:\Windows\system32\bpymml.exe 1952 "C:\Windows\SysWOW64\rejbqi.exe"
        200⤵
        
        PID:3268
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3268 -s 340
        201⤵
        
        PID:1988
        
        C:\Windows\SysWOW64\llzwtg.exe
        
        C:\Windows\system32\llzwtg.exe 1948 "C:\Windows\SysWOW64\bpymml.exe"
        201⤵
        
        PID:3696
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3696 -s 344
        202⤵
        
        PID:2460
        
        C:\Windows\SysWOW64\bpzrxl.exe
        
        C:\Windows\system32\bpzrxl.exe 1960 "C:\Windows\SysWOW64\llzwtg.exe"
        202⤵
        
        PID:2412
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2412 -s 340
        203⤵
        
        PID:3720
        
        C:\Windows\SysWOW64\lwlpik.exe
        
        C:\Windows\system32\lwlpik.exe 1968 "C:\Windows\SysWOW64\bpzrxl.exe"
        203⤵
        
        PID:4540
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4540 -s 340
        204⤵
        
        PID:3984
        
        C:\Windows\SysWOW64\bamkmx.exe
        
        C:\Windows\system32\bamkmx.exe 1972 "C:\Windows\SysWOW64\lwlpik.exe"
        204⤵
        
        PID:2408
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2408 -s 340
        205⤵
        
        PID:4240
        
        C:\Windows\SysWOW64\mayhww.exe
        
        C:\Windows\system32\mayhww.exe 1956 "C:\Windows\SysWOW64\bamkmx.exe"
        205⤵
        Drops file in System32 directory
        
        PID:4780
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4780 -s 340
        206⤵
        
        PID:3436
        
        C:\Windows\SysWOW64\yyskne.exe
        
        C:\Windows\system32\yyskne.exe 1964 "C:\Windows\SysWOW64\mayhww.exe"
        206⤵
        System Location Discovery: System Language Discovery
        
        PID:4920
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4920 -s 340
        207⤵
        
        PID:3576
        
        C:\Windows\SysWOW64\mlkzsa.exe
        
        C:\Windows\system32\mlkzsa.exe 1984 "C:\Windows\SysWOW64\yyskne.exe"
        207⤵
        
        PID:748
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 748 -s 340
        208⤵
        
        PID:1436
        
        C:\Windows\SysWOW64\zyupye.exe
        
        C:\Windows\system32\zyupye.exe 1976 "C:\Windows\SysWOW64\mlkzsa.exe"
        208⤵
        
        PID:3928
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3928 -s 340
        209⤵
        
        PID:5044
        
        C:\Windows\SysWOW64\jxgvjd.exe
        
        C:\Windows\system32\jxgvjd.exe 1992 "C:\Windows\SysWOW64\zyupye.exe"
        209⤵
        
        PID:3100
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3100 -s 340
        210⤵
        
        PID:3116
        
        C:\Windows\SysWOW64\wobxrl.exe
        
        C:\Windows\system32\wobxrl.exe 1980 "C:\Windows\SysWOW64\jxgvjd.exe"
        210⤵
        Drops file in System32 directory
        
        PID:1880
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1880 -s 340
        211⤵
        
        PID:1192
        
        C:\Windows\SysWOW64\jjsnxh.exe
        
        C:\Windows\system32\jjsnxh.exe 2000 "C:\Windows\SysWOW64\wobxrl.exe"
        211⤵
        
        PID:536
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 536 -s 340
        212⤵
        
        PID:3560
        
        C:\Windows\SysWOW64\tiwkif.exe
        
        C:\Windows\system32\tiwkif.exe 2004 "C:\Windows\SysWOW64\jjsnxh.exe"
        212⤵
        
        PID:1544
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1544 -s 340
        213⤵
        
        PID:3320
        
        C:\Windows\SysWOW64\gvoavj.exe
        
        C:\Windows\system32\gvoavj.exe 1996 "C:\Windows\SysWOW64\tiwkif.exe"
        213⤵
        
        PID:4852
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4852 -s 340
        214⤵
        
        PID:4632
        
        C:\Windows\SysWOW64\tixqbn.exe
        
        C:\Windows\system32\tixqbn.exe 2012 "C:\Windows\SysWOW64\gvoavj.exe"
        214⤵
        
        PID:1996
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1996 -s 340
        215⤵
        
        PID:4484
        
        C:\Windows\SysWOW64\hvpfhr.exe
        
        C:\Windows\system32\hvpfhr.exe 1988 "C:\Windows\SysWOW64\tixqbn.exe"
        215⤵
        
        PID:4364
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4364 -s 340
        216⤵
        
        PID:2364
        
        C:\Windows\SysWOW64\rfequu.exe
        
        C:\Windows\system32\rfequu.exe 2020 "C:\Windows\SysWOW64\hvpfhr.exe"
        216⤵
        
        PID:3316
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3316 -s 340
        217⤵
        
        PID:936
        
        C:\Windows\SysWOW64\dwztdu.exe
        
        C:\Windows\system32\dwztdu.exe 2008 "C:\Windows\SysWOW64\rfequu.exe"
        217⤵
        
        PID:1164
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1164 -s 340
        218⤵
        
        PID:3560
        
        C:\Windows\SysWOW64\rffdgu.exe
        
        C:\Windows\system32\rffdgu.exe 2016 "C:\Windows\SysWOW64\dwztdu.exe"
        218⤵
        System Location Discovery: System Language Discovery
        
        PID:4524
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4524 -s 340
        219⤵
        
        PID:3604
        
        C:\Windows\SysWOW64\esxtmx.exe
        
        C:\Windows\system32\esxtmx.exe 2028 "C:\Windows\SysWOW64\rffdgu.exe"
        219⤵
        
        PID:3964
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3964 -s 340
        220⤵
        
        PID:4796
        
        C:\Windows\SysWOW64\odmdhb.exe
        
        C:\Windows\system32\odmdhb.exe 2044 "C:\Windows\SysWOW64\esxtmx.exe"
        220⤵
        
        PID:4492
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4492 -s 340
        221⤵
        
        PID:1436
        
        C:\Windows\SysWOW64\bqetnw.exe
        
        C:\Windows\system32\bqetnw.exe 2032 "C:\Windows\SysWOW64\odmdhb.exe"
        221⤵
        Drops file in System32 directory
        
        PID:2180
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2180 -s 340
        222⤵
        
        PID:4604
        
        C:\Windows\SysWOW64\odnjsa.exe
        
        C:\Windows\system32\odnjsa.exe 2040 "C:\Windows\SysWOW64\bqetnw.exe"
        222⤵
        
        PID:3972
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3972 -s 340
        223⤵
        
        PID:2996
        
        C:\Windows\SysWOW64\bbqlbi.exe
        
        C:\Windows\system32\bbqlbi.exe 2036 "C:\Windows\SysWOW64\odnjsa.exe"
        223⤵
        
        PID:1188
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1188 -s 340
        224⤵
        
        PID:3312
        
        C:\Windows\SysWOW64\lbujlh.exe
        
        C:\Windows\system32\lbujlh.exe 1184 "C:\Windows\SysWOW64\bbqlbi.exe"
        224⤵
        
        PID:1808
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1808 -s 340
        225⤵
        
        PID:3980
        
        C:\Windows\SysWOW64\yrpmup.exe
        
        C:\Windows\system32\yrpmup.exe 2052 "C:\Windows\SysWOW64\lbujlh.exe"
        225⤵
        
        PID:4632
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4632 -s 340
        226⤵
        
        PID:3984
        
        C:\Windows\SysWOW64\mbvwxh.exe
        
        C:\Windows\system32\mbvwxh.exe 2064 "C:\Windows\SysWOW64\yrpmup.exe"
        226⤵
        
        PID:3548
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3548 -s 340
        227⤵
        
        PID:4628
        
        C:\Windows\SysWOW64\zonmdl.exe
        
        C:\Windows\system32\zonmdl.exe 2056 "C:\Windows\SysWOW64\mbvwxh.exe"
        227⤵
        Drops file in System32 directory
        
        PID:4552
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4552 -s 340
        228⤵
        
        PID:4800
        
        C:\Windows\SysWOW64\jycwyo.exe
        
        C:\Windows\system32\jycwyo.exe 2072 "C:\Windows\SysWOW64\zonmdl.exe"
        228⤵
        
        PID:956
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 956 -s 340
        229⤵
        
        PID:1812
        
        C:\Windows\SysWOW64\wlumes.exe
        
        C:\Windows\system32\wlumes.exe 2060 "C:\Windows\SysWOW64\jycwyo.exe"
        229⤵
        
        PID:3560
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3560 -s 340
        230⤵
        
        PID:5056
        
        C:\Windows\SysWOW64\jydckw.exe
        
        C:\Windows\system32\jydckw.exe 2076 "C:\Windows\SysWOW64\wlumes.exe"
        230⤵
        
        PID:1504
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1504 -s 340
        231⤵
        
        PID:4764
        
        C:\Windows\SysWOW64\wlvspr.exe
        
        C:\Windows\system32\wlvspr.exe 2068 "C:\Windows\SysWOW64\jydckw.exe"
        231⤵
        
        PID:3688
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3688 -s 340
        232⤵
        
        PID:3068
        
        C:\Windows\SysWOW64\bkquya.exe
        
        C:\Windows\system32\bkquya.exe 2080 "C:\Windows\SysWOW64\wlvspr.exe"
        232⤵
        
        PID:1016
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1016 -s 340
        233⤵
        
        PID:4240
        
        C:\Windows\SysWOW64\lmffld.exe
        
        C:\Windows\system32\lmffld.exe 2088 "C:\Windows\SysWOW64\bkquya.exe"
        233⤵
        
        PID:4956
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4956 -s 344
        234⤵
        
        PID:5044
        
        C:\Windows\SysWOW64\yzxuzh.exe
        
        C:\Windows\system32\yzxuzh.exe 2092 "C:\Windows\SysWOW64\lmffld.exe"
        234⤵
        
        PID:2176
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2176 -s 340
        235⤵
        
        PID:3744
        
        C:\Windows\SysWOW64\mjdfcy.exe
        
        C:\Windows\system32\mjdfcy.exe 2100 "C:\Windows\SysWOW64\yzxuzh.exe"
        235⤵
        
        PID:3496
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3496 -s 340
        236⤵
        
        PID:2996
        
        C:\Windows\SysWOW64\yhyilg.exe
        
        C:\Windows\system32\yhyilg.exe 2096 "C:\Windows\SysWOW64\mjdfcy.exe"
        236⤵
        
        PID:4764
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4764 -s 340
        237⤵
        
        PID:3444
        
        C:\Windows\SysWOW64\jgkfvf.exe
        
        C:\Windows\system32\jgkfvf.exe 2084 "C:\Windows\SysWOW64\yhyilg.exe"
        237⤵
        
        PID:3068
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3068 -s 340
        238⤵
        
        PID:4572
        
        C:\Windows\SysWOW64\wttvbj.exe
        
        C:\Windows\system32\wttvbj.exe 2104 "C:\Windows\SysWOW64\jgkfvf.exe"
        238⤵
        System Location Discovery: System Language Discovery
        
        PID:800
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 800 -s 340
        239⤵
        
        PID:3488
        
        C:\Windows\SysWOW64\jswyjj.exe
        
        C:\Windows\system32\jswyjj.exe 2120 "C:\Windows\SysWOW64\wttvbj.exe"
        239⤵
        System Location Discovery: System Language Discovery
        
        PID:2616
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2616 -s 344
        240⤵
        
        PID:244
        
        C:\Windows\SysWOW64\wfgnpn.exe
        
        C:\Windows\system32\wfgnpn.exe 2112 "C:\Windows\SysWOW64\jswyjj.exe"
        240⤵
        
        PID:2700
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2700 -s 340
        241⤵
        
        PID:892
        
        C:\Windows\SysWOW64\ghvykq.exe
        
        C:\Windows\system32\ghvykq.exe 2108 "C:\Windows\SysWOW64\wfgnpn.exe"
        241⤵
        
        PID:4384
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4384 -s 340
        242⤵
        
        PID:1876
        
        C:\Windows\SysWOW64\trcanp.exe
        
        C:\Windows\system32\trcanp.exe 2124 "C:\Windows\SysWOW64\ghvykq.exe"
        242⤵
        Drops file in System32 directory
        
        PID:4532
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4532 -s 340
        243⤵
        
        PID:4136
        
        C:\Windows\SysWOW64\dqoyyo.exe
        
        C:\Windows\system32\dqoyyo.exe 2116 "C:\Windows\SysWOW64\trcanp.exe"
        243⤵
        
        PID:4944
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4944 -s 340
        244⤵
        
        PID:2288
        
        C:\Windows\SysWOW64\rzmjbo.exe
        
        C:\Windows\system32\rzmjbo.exe 2136 "C:\Windows\SysWOW64\dqoyyo.exe"
        244⤵
        
        PID:3004
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3004 -s 340
        245⤵
        
        PID:664
        
        C:\Windows\SysWOW64\bkjtor.exe
        
        C:\Windows\system32\bkjtor.exe 2132 "C:\Windows\SysWOW64\rzmjbo.exe"
        245⤵
        
        PID:4760
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4760 -s 340
        246⤵
        
        PID:3916
        
        C:\Windows\SysWOW64\rokosw.exe
        
        C:\Windows\system32\rokosw.exe 2144 "C:\Windows\SysWOW64\bkjtor.exe"
        246⤵
        
        PID:4788
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4788 -s 340
        247⤵
        
        PID:3672
        
        C:\Windows\SysWOW64\ebbeya.exe
        
        C:\Windows\system32\ebbeya.exe 2140 "C:\Windows\SysWOW64\rokosw.exe"
        247⤵
        
        PID:2904
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2904 -s 340
        248⤵
        
        PID:4796
        
        C:\Windows\SysWOW64\ojfbqz.exe
        
        C:\Windows\system32\ojfbqz.exe 2128 "C:\Windows\SysWOW64\ebbeya.exe"
        248⤵
        
        PID:4604
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4604 -s 340
        249⤵
        
        PID:1668
        
        C:\Windows\SysWOW64\bwxrwd.exe
        
        C:\Windows\system32\bwxrwd.exe 2148 "C:\Windows\SysWOW64\ojfbqz.exe"
        249⤵
        
        PID:4572
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4572 -s 340
        250⤵
        
        PID:664
        
        C:\Windows\SysWOW64\lymbjy.exe
        
        C:\Windows\system32\lymbjy.exe 2152 "C:\Windows\SysWOW64\bwxrwd.exe"
        250⤵
        
        PID:5096
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 5096 -s 340
        251⤵
        
        PID:244
        
        C:\Windows\SysWOW64\vunurs.exe
        
        C:\Windows\system32\vunurs.exe 2156 "C:\Windows\SysWOW64\lymbjy.exe"
        251⤵
        
        PID:4684
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4684 -s 340
        252⤵
        
        PID:1532
        
        C:\Windows\SysWOW64\lgnpvf.exe
        
        C:\Windows\system32\lgnpvf.exe 2164 "C:\Windows\SysWOW64\vunurs.exe"
        252⤵
        
        PID:3968
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3968 -s 340
        253⤵
        
        PID:2488
        
        C:\Windows\SysWOW64\vfzmne.exe
        
        C:\Windows\system32\vfzmne.exe 2160 "C:\Windows\SysWOW64\lgnpvf.exe"
        253⤵
        
        PID:4580
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4580 -s 340
        254⤵
        
        PID:3960
        
        C:\Windows\SysWOW64\iwupwm.exe
        
        C:\Windows\system32\iwupwm.exe 2172 "C:\Windows\SysWOW64\vfzmne.exe"
        254⤵
        
        PID:4708
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4708 -s 340
        255⤵
        
        PID:5100
        
        C:\Windows\SysWOW64\vjmeci.exe
        
        C:\Windows\system32\vjmeci.exe 2168 "C:\Windows\SysWOW64\iwupwm.exe"
        255⤵
        
        PID:324
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 324 -s 340
        256⤵
        
        PID:1980
        
        C:\Windows\SysWOW64\jevuhm.exe
        
        C:\Windows\system32\jevuhm.exe 2180 "C:\Windows\SysWOW64\vjmeci.exe"
        256⤵
        System Location Discovery: System Language Discovery
        
        PID:3672
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3672 -s 340
        257⤵
        
        PID:2680
        
        C:\Windows\SysWOW64\tdhrsl.exe
        
        C:\Windows\system32\tdhrsl.exe 2184 "C:\Windows\SysWOW64\jevuhm.exe"
        257⤵
        Drops file in System32 directory
        
        PID:4796
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4796 -s 340
        258⤵
        
        PID:2304
        
        C:\Windows\SysWOW64\gqrhyp.exe
        
        C:\Windows\system32\gqrhyp.exe 2200 "C:\Windows\SysWOW64\tdhrsl.exe"
        258⤵
        
        PID:4588
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4588 -s 340
        259⤵
        
        PID:3720
        
        C:\Windows\SysWOW64\tgmkgp.exe
        
        C:\Windows\system32\tgmkgp.exe 2176 "C:\Windows\SysWOW64\gqrhyp.exe"
        259⤵
        
        PID:936
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 936 -s 340
        260⤵
        
        PID:1592
        
        C:\Windows\SysWOW64\gfpnpx.exe
        
        C:\Windows\system32\gfpnpx.exe 2192 "C:\Windows\SysWOW64\tgmkgp.exe"
        260⤵
        
        PID:2460
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2460 -s 340
        261⤵
        
        PID:4628
        
        C:\Windows\SysWOW64\qapfer.exe
        
        C:\Windows\system32\qapfer.exe 2188 "C:\Windows\SysWOW64\gfpnpx.exe"
        261⤵
        System Location Discovery: System Language Discovery
        
        PID:2680
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2680 -s 340
        262⤵
        
        PID:1436
        
        C:\Windows\SysWOW64\ekoihr.exe
        
        C:\Windows\system32\ekoihr.exe 2204 "C:\Windows\SysWOW64\qapfer.exe"
        262⤵
        Drops file in System32 directory
        
        PID:2304
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2304 -s 340
        263⤵
        
        PID:4720
        
        C:\Windows\SysWOW64\qarkqz.exe
        
        C:\Windows\system32\qarkqz.exe 2212 "C:\Windows\SysWOW64\ekoihr.exe"
        263⤵
        
        PID:3436
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3436 -s 340
        264⤵
        
        PID:2520
        
        C:\Windows\SysWOW64\baviay.exe
        
        C:\Windows\system32\baviay.exe 2196 "C:\Windows\SysWOW64\qarkqz.exe"
        264⤵
        
        PID:1064
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1064 -s 340
        265⤵
        
        PID:5056
        
        C:\Windows\SysWOW64\onmygu.exe
        
        C:\Windows\system32\onmygu.exe 2216 "C:\Windows\SysWOW64\baviay.exe"
        265⤵
        
        PID:1248
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1248 -s 340
        266⤵
        
        PID:5100
        
        C:\Windows\SysWOW64\blhapc.exe
        
        C:\Windows\system32\blhapc.exe 2208 "C:\Windows\SysWOW64\onmygu.exe"
        266⤵
        Drops file in System32 directory
        
        PID:1532
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1532 -s 340
        267⤵
        
        PID:516
        
        C:\Windows\SysWOW64\obcdyk.exe
        
        C:\Windows\system32\obcdyk.exe 2228 "C:\Windows\SysWOW64\blhapc.exe"
        267⤵
        
        PID:4408
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4408 -s 340
        268⤵
        
        PID:3984
        
        C:\Windows\SysWOW64\bottdo.exe
        
        C:\Windows\system32\bottdo.exe 2024 "C:\Windows\SysWOW64\obcdyk.exe"
        268⤵
        
        PID:2352
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2352 -s 340
        269⤵
        
        PID:5056
        
        C:\Windows\SysWOW64\ojlirk.exe
        
        C:\Windows\system32\ojlirk.exe 2232 "C:\Windows\SysWOW64\bottdo.exe"
        269⤵
        System Location Discovery: System Language Discovery
        
        PID:4772
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4772 -s 340
        270⤵
        
        PID:1004
        
        C:\Windows\SysWOW64\ymaten.exe
        
        C:\Windows\system32\ymaten.exe 2236 "C:\Windows\SysWOW64\ojlirk.exe"
        270⤵
        
        PID:1820
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1820 -s 340
        271⤵
        
        PID:1712
        
        C:\Windows\SysWOW64\onxjgw.exe
        
        C:\Windows\system32\onxjgw.exe 2240 "C:\Windows\SysWOW64\ymaten.exe"
        271⤵
        
        PID:5044
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 5044 -s 340
        272⤵
        
        PID:3984
        
        C:\Windows\SysWOW64\ymbgqv.exe
        
        C:\Windows\system32\ymbgqv.exe 2244 "C:\Windows\SysWOW64\onxjgw.exe"
        272⤵
        
        PID:4672
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4672 -s 340
        273⤵
        
        PID:1664
        
        C:\Windows\SysWOW64\itgeat.exe
        
        C:\Windows\system32\itgeat.exe 2252 "C:\Windows\SysWOW64\ymbgqv.exe"
        273⤵
        
        PID:1592
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1592 -s 340
        274⤵
        
        PID:3444
        
        C:\Windows\SysWOW64\vgxtgp.exe
        
        C:\Windows\system32\vgxtgp.exe 2260 "C:\Windows\SysWOW64\itgeat.exe"
        274⤵
        
        PID:3596
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3596 -s 340
        275⤵
        
        PID:1712
        
        C:\Windows\SysWOW64\jtpjut.exe
        
        C:\Windows\system32\jtpjut.exe 2248 "C:\Windows\SysWOW64\vgxtgp.exe"
        275⤵
        
        PID:1528
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1528 -s 340
        276⤵
        
        PID:3984
        
        C:\Windows\SysWOW64\vvvzfg.exe
        
        C:\Windows\system32\vvvzfg.exe 1936 "C:\Windows\SysWOW64\jtpjut.exe"
        276⤵
        
        PID:3916
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3916 -s 340
        277⤵
        
        PID:2324
        
        C:\Windows\SysWOW64\jfbbif.exe
        
        C:\Windows\system32\jfbbif.exe 2264 "C:\Windows\SysWOW64\vvvzfg.exe"
        277⤵
        
        PID:1612
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1612 -s 340
        278⤵
        
        PID:2296
        
        C:\Windows\SysWOW64\lhqmwa.exe
        
        C:\Windows\system32\lhqmwa.exe 2256 "C:\Windows\SysWOW64\jfbbif.exe"
        278⤵
        
        PID:2740
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2740 -s 340
        279⤵
        
        PID:4508
        
        C:\Windows\SysWOW64\yuabbe.exe
        
        C:\Windows\system32\yuabbe.exe 2272 "C:\Windows\SysWOW64\lhqmwa.exe"
        279⤵
        
        PID:2520
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2520 -s 340
        280⤵
        
        PID:4076
        
        C:\Windows\SysWOW64\lhrzhi.exe
        
        C:\Windows\system32\lhrzhi.exe 2276 "C:\Windows\SysWOW64\yuabbe.exe"
        280⤵
        
        PID:664
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 664 -s 340
        281⤵
        
        PID:3536
        
        C:\Windows\SysWOW64\ycjpnm.exe
        
        C:\Windows\system32\ycjpnm.exe 2280 "C:\Windows\SysWOW64\lhrzhi.exe"
        281⤵
        
        PID:4896
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4896 -s 340
        282⤵
        
        PID:3312
        
        C:\Windows\SysWOW64\ibnmfl.exe
        
        C:\Windows\system32\ibnmfl.exe 2268 "C:\Windows\SysWOW64\ycjpnm.exe"
        282⤵
        
        PID:4732
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4732 -s 340
        283⤵
        
        PID:3576
        
        C:\Windows\SysWOW64\vsipol.exe
        
        C:\Windows\system32\vsipol.exe 2288 "C:\Windows\SysWOW64\ibnmfl.exe"
        283⤵
        
        PID:4324
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4324 -s 340
        284⤵
        
        PID:4136
        
        C:\Windows\SysWOW64\jbosrk.exe
        
        C:\Windows\system32\jbosrk.exe 2296 "C:\Windows\SysWOW64\vsipol.exe"
        284⤵
        
        PID:3712
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3712 -s 340
        285⤵
        
        PID:5064
        
        C:\Windows\SysWOW64\smecen.exe
        
        C:\Windows\system32\smecen.exe 2292 "C:\Windows\SysWOW64\jbosrk.exe"
        285⤵
        System Location Discovery: System Language Discovery
        
        PID:60
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 60 -s 340
        286⤵
        
        PID:1192
        
        C:\Windows\SysWOW64\iqmxib.exe
        
        C:\Windows\system32\iqmxib.exe 2300 "C:\Windows\SysWOW64\smecen.exe"
        286⤵
        
        PID:1988
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1988 -s 340
        287⤵
        
        PID:3444
        
        C:\Windows\SysWOW64\tpqutr.exe
        
        C:\Windows\system32\tpqutr.exe 2304 "C:\Windows\SysWOW64\iqmxib.exe"
        287⤵
        
        PID:1980
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1980 -s 340
        288⤵
        
        PID:1712
        
        C:\Windows\SysWOW64\gcikyv.exe
        
        C:\Windows\system32\gcikyv.exe 2308 "C:\Windows\SysWOW64\tpqutr.exe"
        288⤵
        
        PID:1552
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1552 -s 340
        289⤵
        
        PID:3984
        
        C:\Windows\SysWOW64\qkmqru.exe
        
        C:\Windows\system32\qkmqru.exe 2284 "C:\Windows\SysWOW64\gcikyv.exe"
        289⤵
        
        PID:440
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 440 -s 340
        290⤵
        
        PID:2296
        
        C:\Windows\SysWOW64\dxdfxy.exe
        
        C:\Windows\system32\dxdfxy.exe 2316 "C:\Windows\SysWOW64\qkmqru.exe"
        290⤵
        System Location Discovery: System Language Discovery
        
        PID:4844
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4844 -s 340
        291⤵
        
        PID:4136
        
        C:\Windows\SysWOW64\qkvvcc.exe
        
        C:\Windows\system32\qkvvcc.exe 2312 "C:\Windows\SysWOW64\dxdfxy.exe"
        291⤵
        
        PID:2292
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 340
        292⤵
        
        PID:4548
        
        C:\Windows\SysWOW64\dxelix.exe
        
        C:\Windows\system32\dxelix.exe 2324 "C:\Windows\SysWOW64\qkvvcc.exe"
        292⤵
        
        PID:3984
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3984 -s 340
        293⤵
        
        PID:4908
        
        C:\Windows\SysWOW64\nhuvvb.exe
        
        C:\Windows\system32\nhuvvb.exe 2328 "C:\Windows\SysWOW64\dxelix.exe"
        293⤵
        
        PID:2296
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2296 -s 340
        294⤵
        
        PID:516
        
        C:\Windows\SysWOW64\aywyej.exe
        
        C:\Windows\system32\aywyej.exe 2320 "C:\Windows\SysWOW64\nhuvvb.exe"
        294⤵
        
        PID:4976
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4976 -s 344
        295⤵
        
        PID:5068
        
        C:\Windows\SysWOW64\nlgokn.exe
        
        C:\Windows\system32\nlgokn.exe 2336 "C:\Windows\SysWOW64\aywyej.exe"
        295⤵
        
        PID:3180
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3180 -s 340
        296⤵
        
        PID:2768
        
        C:\Windows\SysWOW64\bumynm.exe
        
        C:\Windows\system32\bumynm.exe 2332 "C:\Windows\SysWOW64\nlgokn.exe"
        296⤵
        
        PID:2364
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2364 -s 340
        297⤵
        
        PID:2132
        
        C:\Windows\SysWOW64\lfcjip.exe
        
        C:\Windows\system32\lfcjip.exe 2344 "C:\Windows\SysWOW64\bumynm.exe"
        297⤵
        
        PID:5080
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 5080 -s 340
        298⤵
        
        PID:5100
        
        C:\Windows\SysWOW64\yoillh.exe
        
        C:\Windows\system32\yoillh.exe 2340 "C:\Windows\SysWOW64\lfcjip.exe"
        298⤵
        
        PID:5092
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 5092 -s 340
        299⤵
        
        PID:1812
        
        C:\Windows\SysWOW64\liobwt.exe
        
        C:\Windows\system32\liobwt.exe 2348 "C:\Windows\SysWOW64\yoillh.exe"
        299⤵
        System Location Discovery: System Language Discovery
        
        PID:3412
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3412 -s 340
        300⤵
        
        PID:1816
        
        C:\Windows\SysWOW64\yvgrcx.exe
        
        C:\Windows\system32\yvgrcx.exe 2356 "C:\Windows\SysWOW64\liobwt.exe"
        300⤵
        
        PID:516
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 516 -s 340
        301⤵
        
        PID:3116
        
        C:\Windows\SysWOW64\ickonw.exe
        
        C:\Windows\system32\ickonw.exe 2360 "C:\Windows\SysWOW64\yvgrcx.exe"
        301⤵
        
        PID:4800
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4800 -s 340
        302⤵
        
        PID:3112
        
        C:\Windows\SysWOW64\vpbess.exe
        
        C:\Windows\system32\vpbess.exe 2364 "C:\Windows\SysWOW64\ickonw.exe"
        302⤵
        
        PID:1888
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1888 -s 340
        303⤵
        
        PID:4372
        
        C:\Windows\SysWOW64\igwhja.exe
        
        C:\Windows\system32\igwhja.exe 2380 "C:\Windows\SysWOW64\vpbess.exe"
        303⤵
        
        PID:2288
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2288 -s 344
        304⤵
        
        PID:1976
        
        C:\Windows\SysWOW64\vtowpe.exe
        
        C:\Windows\system32\vtowpe.exe 2368 "C:\Windows\SysWOW64\igwhja.exe"
        304⤵
        
        PID:4484
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4484 -s 340
        305⤵
        
        PID:2576
        
        C:\Windows\SysWOW64\ioxmvi.exe
        
        C:\Windows\system32\ioxmvi.exe 2372 "C:\Windows\SysWOW64\vtowpe.exe"
        305⤵
        System Location Discovery: System Language Discovery
        
        PID:1664
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1664 -s 340
        306⤵
        
        PID:2908
        
        C:\Windows\SysWOW64\veapdi.exe
        
        C:\Windows\system32\veapdi.exe 2376 "C:\Windows\SysWOW64\ioxmvi.exe"
        306⤵
        
        PID:2932
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2932 -s 340
        307⤵
        
        PID:4508
        
        C:\Windows\SysWOW64\fdemoh.exe
        
        C:\Windows\system32\fdemoh.exe 2384 "C:\Windows\SysWOW64\veapdi.exe"
        307⤵
        
        PID:532
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 532 -s 340
        308⤵
        
        PID:4912
        
        C:\Windows\SysWOW64\tnkxrg.exe
        
        C:\Windows\system32\tnkxrg.exe 2388 "C:\Windows\SysWOW64\fdemoh.exe"
        308⤵
        
        PID:2620
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2620 -s 340
        309⤵
        
        PID:2908
        
        C:\Windows\SysWOW64\gdfazo.exe
        
        C:\Windows\system32\gdfazo.exe 2352 "C:\Windows\SysWOW64\tnkxrg.exe"
        309⤵
        
        PID:2768
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2768 -s 340
        310⤵
        
        PID:4372
        
        C:\Windows\SysWOW64\qodkur.exe
        
        C:\Windows\system32\qodkur.exe 2224 "C:\Windows\SysWOW64\gdfazo.exe"
        310⤵
        
        PID:5052
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 5052 -s 340
        311⤵
        
        PID:892
        
        C:\Windows\SysWOW64\dbmaan.exe
        
        C:\Windows\system32\dbmaan.exe 2400 "C:\Windows\SysWOW64\qodkur.exe"
        311⤵
        
        PID:2076
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2076 -s 340
        312⤵
        
        PID:1848
        
        C:\Windows\SysWOW64\qzpcjv.exe
        
        C:\Windows\system32\qzpcjv.exe 2404 "C:\Windows\SysWOW64\dbmaan.exe"
        312⤵
        
        PID:5108
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 5108 -s 340
        313⤵
        
        PID:392
        
        C:\Windows\SysWOW64\dbnfmv.exe
        
        C:\Windows\system32\dbnfmv.exe 2408 "C:\Windows\SysWOW64\qzpcjv.exe"
        313⤵
        
        PID:3444
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3444 -s 340
        314⤵
        
        PID:2612
        
        C:\Windows\SysWOW64\nmlpzy.exe
        
        C:\Windows\system32\nmlpzy.exe 2396 "C:\Windows\SysWOW64\dbnfmv.exe"
        314⤵
        
        PID:3320
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3320 -s 340
        315⤵
        
        PID:3980
        
        C:\Windows\SysWOW64\azuffc.exe
        
        C:\Windows\system32\azuffc.exe 2412 "C:\Windows\SysWOW64\nmlpzy.exe"
        315⤵
        
        PID:1976
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1976 -s 344
        316⤵
        
        PID:1004
        
        C:\Windows\SysWOW64\nmmdly.exe
        
        C:\Windows\system32\nmmdly.exe 2416 "C:\Windows\SysWOW64\azuffc.exe"
        316⤵
        
        PID:4068
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4068 -s 344
        317⤵
        
        PID:4240
        
        C:\Windows\SysWOW64\xtqadw.exe
        
        C:\Windows\system32\xtqadw.exe 2420 "C:\Windows\SysWOW64\nmmdly.exe"
        317⤵
        
        PID:3692
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3692 -s 340
        318⤵
        
        PID:5068
        
        C:\Windows\SysWOW64\kjtdmf.exe
        
        C:\Windows\system32\kjtdmf.exe 2424 "C:\Windows\SysWOW64\xtqadw.exe"
        318⤵
        
        PID:4624
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4624 -s 340
        319⤵
        
        PID:4916
        
        C:\Windows\SysWOW64\ywctsi.exe
        
        C:\Windows\system32\ywctsi.exe 2432 "C:\Windows\SysWOW64\kjtdmf.exe"
        319⤵
        
        PID:4256
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4256 -s 340
        320⤵
        
        PID:4372
        
        C:\Windows\SysWOW64\ljuixe.exe
        
        C:\Windows\system32\ljuixe.exe 2428 "C:\Windows\SysWOW64\ywctsi.exe"
        320⤵
        
        PID:2996
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2996 -s 340
        321⤵
        
        PID:320
        
        C:\Windows\SysWOW64\ywdydi.exe
        
        C:\Windows\system32\ywdydi.exe 2436 "C:\Windows\SysWOW64\ljuixe.exe"
        321⤵
        System Location Discovery: System Language Discovery
        
        PID:2744
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2744 -s 344
        322⤵
        
        PID:3960
        
        C:\Windows\SysWOW64\ihtiql.exe
        
        C:\Windows\system32\ihtiql.exe 2448 "C:\Windows\SysWOW64\ywdydi.exe"
        322⤵
        
        PID:1812
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1812 -s 340
        323⤵
        
        PID:3944
        
        C:\Windows\SysWOW64\yiqqsu.exe
        
        C:\Windows\system32\yiqqsu.exe 2392 "C:\Windows\SysWOW64\ihtiql.exe"
        323⤵
        
        PID:796
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 796 -s 340
        324⤵
        
        PID:3912
        
        C:\Windows\SysWOW64\adrjzp.exe
        
        C:\Windows\system32\adrjzp.exe 2452 "C:\Windows\SysWOW64\yiqqsu.exe"
        324⤵
        
        PID:4720
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4720 -s 340
        325⤵
        
        PID:4912
        
        C:\Windows\SysWOW64\nulmqp.exe
        
        C:\Windows\system32\nulmqp.exe 2220 "C:\Windows\SysWOW64\adrjzp.exe"
        325⤵
        
        PID:3944
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3944 -s 340
        326⤵
        
        PID:2908
        
        C:\Windows\SysWOW64\xebwds.exe
        
        C:\Windows\system32\xebwds.exe 2456 "C:\Windows\SysWOW64\nulmqp.exe"
        326⤵
        
        PID:2612
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2612 -s 340
        327⤵
        
        PID:1848
        
        C:\Windows\SysWOW64\krsmjw.exe
        
        C:\Windows\system32\krsmjw.exe 2464 "C:\Windows\SysWOW64\xebwds.exe"
        327⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2388 -s 340
        328⤵
        
        PID:4508
        
        C:\Windows\SysWOW64\xekbpa.exe
        
        C:\Windows\system32\xekbpa.exe 2460 "C:\Windows\SysWOW64\krsmjw.exe"
        328⤵
        
        PID:2908
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2908 -s 340
        329⤵
        
        PID:432
        
        C:\Windows\SysWOW64\ilozzy.exe
        
        C:\Windows\system32\ilozzy.exe 2468 "C:\Windows\SysWOW64\xekbpa.exe"
        329⤵
        
        PID:3500
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3500 -s 340
        330⤵
        
        PID:4628
        
        C:\Windows\SysWOW64\vyfpfu.exe
        
        C:\Windows\system32\vyfpfu.exe 2476 "C:\Windows\SysWOW64\ilozzy.exe"
        330⤵
        
        PID:4012
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4012 -s 340
        331⤵
        
        PID:4836
        
        C:\Windows\SysWOW64\ilpely.exe
        
        C:\Windows\system32\ilpely.exe 2444 "C:\Windows\SysWOW64\vyfpfu.exe"
        331⤵
        
        PID:3708
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3708 -s 340
        332⤵
        
        PID:2884
        
        C:\Windows\SysWOW64\vyhcyc.exe
        
        C:\Windows\system32\vyhcyc.exe 2484 "C:\Windows\SysWOW64\ilpely.exe"
        332⤵
        
        PID:4536
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4536 -s 340
        333⤵
        
        PID:3188
        
        C:\Windows\SysWOW64\ipbxhk.exe
        
        C:\Windows\system32\ipbxhk.exe 2492 "C:\Windows\SysWOW64\vyhcyc.exe"
        333⤵
        
        PID:4912
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4912 -s 340
        334⤵
        
        PID:4076
        
        C:\Windows\SysWOW64\swocrj.exe
        
        C:\Windows\system32\swocrj.exe 2480 "C:\Windows\SysWOW64\ipbxhk.exe"
        334⤵
        
        PID:3960
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3960 -s 340
        335⤵
        
        PID:3684
        
        C:\Windows\SysWOW64\fnifaj.exe
        
        C:\Windows\system32\fnifaj.exe 2488 "C:\Windows\SysWOW64\swocrj.exe"
        335⤵
        
        PID:4136
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4136 -s 340
        336⤵
        
        PID:4412
        
        C:\Windows\SysWOW64\saaugn.exe
        
        C:\Windows\system32\saaugn.exe 2500 "C:\Windows\SysWOW64\fnifaj.exe"
        336⤵
        
        PID:2132
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2132 -s 340
        337⤵
        
        PID:4856
        
        C:\Windows\SysWOW64\fnjkmr.exe
        
        C:\Windows\system32\fnjkmr.exe 2504 "C:\Windows\SysWOW64\saaugn.exe"
        337⤵
        
        PID:1172
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1172 -s 340
        338⤵
        
        PID:1876
        
        C:\Windows\SysWOW64\quwiep.exe
        
        C:\Windows\system32\quwiep.exe 2508 "C:\Windows\SysWOW64\fnjkmr.exe"
        338⤵
        
        PID:3720
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3720 -s 340
        339⤵
        
        PID:1712
        
        C:\Windows\SysWOW64\ckqknq.exe
        
        C:\Windows\system32\ckqknq.exe 2496 "C:\Windows\SysWOW64\quwiep.exe"
        339⤵
        Drops file in System32 directory
        
        PID:1436
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1436 -s 340
        340⤵
        
        PID:3604
        
        C:\Windows\SysWOW64\quxnqp.exe
        
        C:\Windows\system32\quxnqp.exe 2512 "C:\Windows\SysWOW64\ckqknq.exe"
        340⤵
        
        PID:3312
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3312 -s 340
        341⤵
        
        PID:3188
        
        C:\Windows\SysWOW64\dkrqyx.exe
        
        C:\Windows\system32\dkrqyx.exe 2520 "C:\Windows\SysWOW64\quxnqp.exe"
        341⤵
        
        PID:3112
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3112 -s 340
        342⤵
        
        PID:1412
        
        C:\Windows\SysWOW64\nvhala.exe
        
        C:\Windows\system32\nvhala.exe 2528 "C:\Windows\SysWOW64\dkrqyx.exe"
        342⤵
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:432

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 4740 -ip 4740
1⤵
PID:4852

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 444 -p 4984 -ip 4984
1⤵
PID:2488

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 4900 -ip 4900
1⤵
PID:1188

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 4044 -ip 4044
1⤵
PID:1852

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 4864 -ip 4864
1⤵
PID:2152

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 4480 -ip 4480
1⤵
PID:5116

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 1684 -ip 1684
1⤵
PID:2836

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 3264 -ip 3264
1⤵
PID:3480

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 2468 -ip 2468
1⤵
PID:3716

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 2228 -ip 2228
1⤵
PID:4908

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 444 -p 4028 -ip 4028
1⤵
PID:2616

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 1068 -ip 1068
1⤵
PID:4772

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 3380 -ip 3380
1⤵
PID:4456

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 4444 -ip 4444
1⤵
PID:4944

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 4792 -ip 4792
1⤵
PID:4328

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 5004 -ip 5004
1⤵
PID:3248

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 4144 -ip 4144
1⤵
PID:3536

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 1156 -ip 1156
1⤵
PID:3100

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 1516 -ip 1516
1⤵
PID:2268

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 2760 -ip 2760
1⤵
PID:2116

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 1724 -ip 1724
1⤵
PID:3000

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 4196 -ip 4196
1⤵
PID:4076

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 4280 -ip 4280
1⤵
PID:1952

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 548 -ip 548
1⤵
PID:1712

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 4428 -ip 4428
1⤵
PID:3928

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 2384 -ip 2384
1⤵
PID:3960

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 1760 -ip 1760
1⤵
PID:4772

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 456 -p 1420 -ip 1420
1⤵
PID:4012

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 2928 -ip 2928
1⤵
PID:2956

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 4332 -ip 4332
1⤵
PID:4748

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 4500 -ip 4500
1⤵
PID:1244

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 1720 -ip 1720
1⤵
PID:5044

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4876 -ip 4876
1⤵
PID:3204

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 2712 -ip 2712
1⤵
PID:1960

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 2116 -ip 2116
1⤵
PID:1264

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 4496 -ip 4496
1⤵
PID:3000

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 1100 -ip 1100
1⤵
PID:3088

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 2776 -ip 2776
1⤵
PID:4672

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 3656 -ip 3656
1⤵
PID:2244

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 208 -ip 208
1⤵
PID:1592

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 1520 -ip 1520
1⤵
PID:4760

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 3832 -ip 3832
1⤵
PID:4772

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 2264 -ip 2264
1⤵
PID:1504

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 2328 -ip 2328
1⤵
PID:4948

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 1480 -ip 1480
1⤵
PID:2896

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 3652 -ip 3652
1⤵
PID:4828

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 3476 -ip 3476
1⤵
PID:4836

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 4700 -ip 4700
1⤵
PID:4160

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 2108 -ip 2108
1⤵
PID:936

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 3464 -ip 3464
1⤵
PID:2768

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 3252 -ip 3252
1⤵
PID:1808

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 1128 -ip 1128
1⤵
PID:5064

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 4612 -ip 4612
1⤵
PID:3600

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 4268 -ip 4268
1⤵
PID:2700

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 4596 -ip 4596
1⤵
PID:2408

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 2684 -ip 2684
1⤵
PID:3112

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 3092 -ip 3092
1⤵
PID:2364

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 2356 -ip 2356
1⤵
PID:4412

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 4516 -ip 4516
1⤵
PID:4540

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 444 -p 2560 -ip 2560
1⤵
PID:3512

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 3292 -ip 3292
1⤵
PID:408

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 5000 -ip 5000
1⤵
PID:5044

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 1160 -ip 1160
1⤵
PID:2268

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 2168 -ip 2168
1⤵
PID:1664

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 4960 -ip 4960
1⤵
PID:4588

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 1524 -ip 1524
1⤵
PID:3456

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 3480 -ip 3480
1⤵
PID:4840

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 596 -p 4952 -ip 4952
1⤵
PID:3088

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 2808 -ip 2808
1⤵
PID:3180

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 596 -p 4568 -ip 4568
1⤵
PID:1732

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 444 -p 844 -ip 844
1⤵
PID:3720

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 2372 -ip 2372
1⤵
PID:3964

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3724 -ip 3724
1⤵
PID:2952

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 2204 -ip 2204
1⤵
PID:1328

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 4276 -ip 4276
1⤵
PID:540

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 3648 -ip 3648
1⤵
PID:4328

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 4828 -ip 4828
1⤵
PID:1824

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 1680 -ip 1680
1⤵
PID:4204

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 2120 -ip 2120
1⤵
PID:4616

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 612 -p 2184 -ip 2184
1⤵
PID:2660

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 2516 -ip 2516
1⤵
PID:2484

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 2200 -ip 2200
1⤵
PID:2912

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 740 -ip 740
1⤵
PID:1988

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 2456 -ip 2456
1⤵
PID:1136

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 988 -ip 988
1⤵
PID:3960

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 880 -ip 880
1⤵
PID:1712

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 612 -p 736 -ip 736
1⤵
PID:3168

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 1328 -ip 1328
1⤵
PID:3116

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 644 -p 408 -ip 408
1⤵
PID:4852

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 4456 -ip 4456
1⤵
PID:4316

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 4972 -ip 4972
1⤵
PID:1012

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 1916 -ip 1916
1⤵
PID:5016

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 1852 -ip 1852
1⤵
PID:2300

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 2716 -ip 2716
1⤵
PID:4840

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 1696 -ip 1696
1⤵
PID:1980

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 852 -ip 852
1⤵
PID:4492

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 652 -p 624 -ip 624
1⤵
PID:4892

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 1644 -ip 1644
1⤵
PID:212

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 668 -p 1588 -ip 1588
1⤵
PID:2700

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 2224 -ip 2224
1⤵
PID:1920

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 696 -p 1828 -ip 1828
1⤵
PID:2596

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 700 -p 468 -ip 468
1⤵
PID:2012

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 704 -p 3588 -ip 3588
1⤵
PID:5092

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 708 -p 4312 -ip 4312
1⤵
PID:856

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 3484 -ip 3484
1⤵
PID:4208

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 1856 -ip 1856
1⤵
PID:2732

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 716 -p 4488 -ip 4488
1⤵
PID:4840

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 668 -p 3212 -ip 3212
1⤵
PID:4856

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 5088 -ip 5088
1⤵
PID:4060

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 2028 -ip 2028
1⤵
PID:3696

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 416 -ip 416
1⤵
PID:664

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 4592 -ip 4592
1⤵
PID:1848

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 3940 -ip 3940
1⤵
PID:4184

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 676 -p 872 -ip 872
1⤵
PID:540

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 656 -p 4980 -ip 4980
1⤵
PID:2904

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 620 -ip 620
1⤵
PID:4512

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 716 -p 1428 -ip 1428
1⤵
PID:4256

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 692 -p 2260 -ip 2260
1⤵
PID:368

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 1008 -ip 1008
1⤵
PID:4588

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 688 -p 1960 -ip 1960
1⤵
PID:1556

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 4860 -ip 4860
1⤵
PID:4992

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 3600 -ip 3600
1⤵
PID:1860

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 628 -ip 628
1⤵
PID:1532

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 1424 -ip 1424
1⤵
PID:1256

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 2952 -ip 2952
1⤵
PID:1436

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 2500 -ip 2500
1⤵
PID:4384

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 696 -p 1236 -ip 1236
1⤵
PID:4036

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 528 -p 568 -ip 568
1⤵
PID:2268

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 708 -p 2648 -ip 2648
1⤵
PID:5044

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 648 -p 2008 -ip 2008
1⤵
PID:3560

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 720 -p 3616 -ip 3616
1⤵
PID:4684

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 4392 -ip 4392
1⤵
PID:4956

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 668 -p 4172 -ip 4172
1⤵
PID:2324

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 696 -p 640 -ip 640
1⤵
PID:1880

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 704 -p 3384 -ip 3384
1⤵
PID:1256

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 384 -p 212 -ip 212
1⤵
PID:5056

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 704 -p 1716 -ip 1716
1⤵
PID:796

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 708 -p 5072 -ip 5072
1⤵
PID:5084

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 648 -p 2012 -ip 2012
1⤵
PID:4048

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 700 -p 4328 -ip 4328
1⤵
PID:3068

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 1764 -ip 1764
1⤵
PID:2300

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 692 -p 5060 -ip 5060
1⤵
PID:2292

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 700 -p 1484 -ip 1484
1⤵
PID:2960

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 2708 -ip 2708
1⤵
PID:3268

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 2660 -ip 2660
1⤵
PID:3500

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 1256 -ip 1256
1⤵
PID:1876

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 3360 -ip 3360
1⤵
PID:4772

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 704 -p 5012 -ip 5012
1⤵
PID:2152

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 2024 -ip 2024
1⤵
PID:4584

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 644 -p 4048 -ip 4048
1⤵
PID:368

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 1304 -ip 1304
1⤵
PID:3328

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 2732 -ip 2732
1⤵
PID:2728

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 444 -p 5116 -ip 5116
1⤵
PID:2236

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 640 -p 4992 -ip 4992
1⤵
PID:2740

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 1860 -ip 1860
1⤵
PID:1216

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 3528 -ip 3528
1⤵
PID:1876

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 3520 -ip 3520
1⤵
PID:2936

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 3452 -ip 3452
1⤵
PID:2408

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 4316 -ip 4316
1⤵
PID:4620

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 1264 -ip 1264
1⤵
PID:1248

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 2888 -ip 2888
1⤵
PID:456

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 2960 -ip 2960
1⤵
PID:2280

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 3740 -ip 3740
1⤵
PID:2000

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 1288 -ip 1288
1⤵
PID:3696

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 840 -ip 840
1⤵
PID:3752

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 2936 -ip 2936
1⤵
PID:4244

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 3184 -ip 3184
1⤵
PID:4532

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 2748 -ip 2748
1⤵
PID:4852

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 4924 -ip 4924
1⤵
PID:3536

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 3024 -ip 3024
1⤵
PID:516

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 1740 -ip 1740
1⤵
PID:1324

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3244 -ip 3244
1⤵
PID:1612

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 3084 -ip 3084
1⤵
PID:1172

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 436 -ip 436
1⤵
PID:1504

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 5036 -ip 5036
1⤵
PID:1848

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 5016 -ip 5016
1⤵
PID:2904

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 4208 -ip 4208
1⤵
PID:2296

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 2236 -ip 2236
1⤵
PID:396

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 2036 -ip 2036
1⤵
PID:232

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 1748 -ip 1748
1⤵
PID:1592

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 3512 -ip 3512
1⤵
PID:3752

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 4892 -ip 4892
1⤵
PID:4552

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 3088 -ip 3088
1⤵
PID:2520

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 2596 -ip 2596
1⤵
PID:1656

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 848 -ip 848
1⤵
PID:4720

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 4264 -ip 4264
1⤵
PID:4404

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 1556 -ip 1556
1⤵
PID:4416

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 452 -ip 452
1⤵
PID:4760

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 400 -ip 400
1⤵
PID:5056

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 4284 -ip 4284
1⤵
PID:1976

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 2096 -ip 2096
1⤵
PID:4796

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 1952 -ip 1952
1⤵
PID:3576

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 368 -ip 368
1⤵
PID:3968

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 4416 -ip 4416
1⤵
PID:1808

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 3716 -ip 3716
1⤵
PID:2324

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 2000 -ip 2000
1⤵
PID:3752

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 3080 -ip 3080
1⤵
PID:1532

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 2124 -ip 2124
1⤵
PID:1504

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 5008 -ip 5008
1⤵
PID:3980

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 3268 -ip 3268
1⤵
PID:4408

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 3696 -ip 3696
1⤵
PID:1592

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 2412 -ip 2412
1⤵
PID:4944

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 4540 -ip 4540
1⤵
PID:1848

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 2408 -ip 2408
1⤵
PID:4684

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 4780 -ip 4780
1⤵
PID:4620

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 4920 -ip 4920
1⤵
PID:3536

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 748 -ip 748
1⤵
PID:4632

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 3928 -ip 3928
1⤵
PID:4760

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 3100 -ip 3100
1⤵
PID:2768

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 1880 -ip 1880
1⤵
PID:2444

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 536 -ip 536
1⤵
PID:532

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 1544 -ip 1544
1⤵
PID:2296

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 4852 -ip 4852
1⤵
PID:3968

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 1996 -ip 1996
1⤵
PID:4520

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 4364 -ip 4364
1⤵
PID:432

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3316 -ip 3316
1⤵
PID:4536

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 1164 -ip 1164
1⤵
PID:2908

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 4524 -ip 4524
1⤵
PID:1528

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 3964 -ip 3964
1⤵
PID:3684

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 4492 -ip 4492
1⤵
PID:4520

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 2180 -ip 2180
1⤵
PID:2352

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 3972 -ip 3972
1⤵
PID:936

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 1188 -ip 1188
1⤵
PID:3560

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 1808 -ip 1808
1⤵
PID:2740

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 4632 -ip 4632
1⤵
PID:3688

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 3548 -ip 3548
1⤵
PID:3692

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 4552 -ip 4552
1⤵
PID:4244

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 956 -ip 956
1⤵
PID:440

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 3560 -ip 3560
1⤵
PID:2296

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 1504 -ip 1504
1⤵
PID:3524

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 3688 -ip 3688
1⤵
PID:2388

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 1016 -ip 1016
1⤵
PID:3116

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 4956 -ip 4956
1⤵
PID:3112

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 2176 -ip 2176
1⤵
PID:4836

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 3496 -ip 3496
1⤵
PID:4620

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 4764 -ip 4764
1⤵
PID:4532

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 3068 -ip 3068
1⤵
PID:3720

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 800 -ip 800
1⤵
PID:1668

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 2616 -ip 2616
1⤵
PID:664

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 2700 -ip 2700
1⤵
PID:3436

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 680 -p 4384 -ip 4384
1⤵
PID:3576

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 4532 -ip 4532
1⤵
PID:4508

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 4944 -ip 4944
1⤵
PID:3984

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 3004 -ip 3004
1⤵
PID:3692

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 4760 -ip 4760
1⤵
PID:4536

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 4788 -ip 4788
1⤵
PID:4412

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 2904 -ip 2904
1⤵
PID:2620

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 4604 -ip 4604
1⤵
PID:4800

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 4572 -ip 4572
1⤵
PID:3340

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 5096 -ip 5096
1⤵
PID:4536

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 4684 -ip 4684
1⤵
PID:4620

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 512 -p 3968 -ip 3968
1⤵
PID:4136

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 4580 -ip 4580
1⤵
PID:1668

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 4708 -ip 4708
1⤵
PID:664

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 324 -ip 324
1⤵
PID:1172

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 3672 -ip 3672
1⤵
PID:2908

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 4796 -ip 4796
1⤵
PID:4672

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 640 -p 4588 -ip 4588
1⤵
PID:532

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 684 -p 936 -ip 936
1⤵
PID:4528

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 2460 -ip 2460
1⤵
PID:1876

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 2680 -ip 2680
1⤵
PID:5064

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 456 -p 2304 -ip 2304
1⤵
PID:4404

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 3436 -ip 3436
1⤵
PID:2492

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 1064 -ip 1064
1⤵
PID:3320

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 1248 -ip 1248
1⤵
PID:892

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 1532 -ip 1532
1⤵
PID:3116

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 4408 -ip 4408
1⤵
PID:3536

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 680 -p 2352 -ip 2352
1⤵
PID:2612

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 4772 -ip 4772
1⤵
PID:892

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 1820 -ip 1820
1⤵
PID:4844

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 5044 -ip 5044
1⤵
PID:392

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 4672 -ip 4672
1⤵
PID:3744

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 1592 -ip 1592
1⤵
PID:4536

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 680 -p 3596 -ip 3596
1⤵
PID:1976

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 1528 -ip 1528
1⤵
PID:2604

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 488 -p 3916 -ip 3916
1⤵
PID:3192

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 1612 -ip 1612
1⤵
PID:4624

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 2740 -ip 2740
1⤵
PID:4520

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 2520 -ip 2520
1⤵
PID:3984

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 456 -p 664 -ip 664
1⤵
PID:4404

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 680 -p 4896 -ip 4896
1⤵
PID:60

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 4732 -ip 4732
1⤵
PID:1988

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 4324 -ip 4324
1⤵
PID:2612

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 680 -p 3712 -ip 3712
1⤵
PID:1004

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 456 -p 60 -ip 60
1⤵
PID:1848

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 1988 -ip 1988
1⤵
PID:2192

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 1980 -ip 1980
1⤵
PID:5104

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 1552 -ip 1552
1⤵
PID:2388

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 440 -ip 440
1⤵
PID:3536

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 4844 -ip 4844
1⤵
PID:4836

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 2292 -ip 2292
1⤵
PID:4068

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 3984 -ip 3984
1⤵
PID:1172

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 2296 -ip 2296
1⤵
PID:4240

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 4976 -ip 4976
1⤵
PID:1876

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 3180 -ip 3180
1⤵
PID:2884

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 2364 -ip 2364
1⤵
PID:2288

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 5080 -ip 5080
1⤵
PID:2604

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 5092 -ip 5092
1⤵
PID:4544

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 3412 -ip 3412
1⤵
PID:4068

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 516 -ip 516
1⤵
PID:4136

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 680 -p 4800 -ip 4800
1⤵
PID:2996

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 1888 -ip 1888
1⤵
PID:2908

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 2288 -ip 2288
1⤵
PID:2488

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 4484 -ip 4484
1⤵
PID:5108

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 1664 -ip 1664
1⤵
PID:4076

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 2932 -ip 2932
1⤵
PID:4368

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 532 -ip 532
1⤵
PID:3312

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 2620 -ip 2620
1⤵
PID:1876

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 2768 -ip 2768
1⤵
PID:4368

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 5052 -ip 5052
1⤵
PID:2744

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 2076 -ip 2076
1⤵
PID:1812

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 5108 -ip 5108
1⤵
PID:1816

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 3444 -ip 3444
1⤵
PID:2192

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 3320 -ip 3320
1⤵
PID:3112

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 1976 -ip 1976
1⤵
PID:4624

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 4068 -ip 4068
1⤵
PID:4836

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 456 -p 3692 -ip 3692
1⤵
PID:3684

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 4624 -ip 4624
1⤵
PID:3488

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 4256 -ip 4256
1⤵
PID:1812

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 2996 -ip 2996
1⤵
PID:4628

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 508 -p 2744 -ip 2744
1⤵
PID:5100

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 1812 -ip 1812
1⤵
PID:3684

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 796 -ip 796
1⤵
PID:1712

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 4720 -ip 4720
1⤵
PID:4032

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 3944 -ip 3944
1⤵
PID:4012

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 2612 -ip 2612
1⤵
PID:3116

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 2388 -ip 2388
1⤵
PID:4404

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 2908 -ip 2908
1⤵
PID:3312

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 3500 -ip 3500
1⤵
PID:3604

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 4012 -ip 4012
1⤵
PID:244

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 3708 -ip 3708
1⤵
PID:1876

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 4536 -ip 4536
1⤵
PID:3912

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 4912 -ip 4912
1⤵
PID:892

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 3960 -ip 3960
1⤵
PID:4856

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 4136 -ip 4136
1⤵
PID:3556

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 2132 -ip 2132
1⤵
PID:4368

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 1172 -ip 1172
1⤵
PID:4808

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 3720 -ip 3720
1⤵
PID:4620

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 1436 -ip 1436
1⤵
PID:4520

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 3312 -ip 3312
1⤵
PID:4620

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 184 -p 3112 -ip 3112
1⤵
PID:4244

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

System Location Discovery

T1614

System Language Discovery

T1614.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\afhwek.exe

Filesize
291KB

MD5
b6f4f06b306d2ec8bb84f4312b3ead20

SHA1
9e3a7d1cdc6e4ca3e3f77b4e600c40cd751b2491

SHA256
01ab469cbc136b144f0f4f747af356de3270c794e9ab63e49b1b4ab908e9e079

SHA512
8b62dfa5b6ac38a3ff88fe4c08f8c1ab63a3df027c8ddbc2984ccacadb800fdedd52b087f6da4abc0c3d00618e457ba9c832dc9414866dfdf5f2a71b835433c1

Download Submit
memory/208-437-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/548-277-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/736-857-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/740-822-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/844-713-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/880-848-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/988-839-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/1068-142-0x00000000006B0000-0x0000000000705000-memory.dmp

Filesize
340KB

Download
memory/1068-131-0x00000000006B0000-0x0000000000705000-memory.dmp

Filesize
340KB

Download
memory/1068-143-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/1068-129-0x00000000006B0000-0x0000000000705000-memory.dmp

Filesize
340KB

Download
memory/1068-130-0x00000000006B0000-0x0000000000705000-memory.dmp

Filesize
340KB

Download
memory/1100-410-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/1128-542-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/1156-211-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/1160-641-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/1328-866-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/1420-319-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/1480-483-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/1516-222-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/1520-446-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/1524-668-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/1680-776-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/1684-81-0x0000000001F60000-0x0000000001FB5000-memory.dmp

Filesize
340KB

Download
memory/1684-93-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/1684-92-0x0000000001F60000-0x0000000001FB5000-memory.dmp

Filesize
340KB

Download
memory/1684-79-0x0000000001F60000-0x0000000001FB5000-memory.dmp

Filesize
340KB

Download
memory/1684-80-0x0000000001F60000-0x0000000001FB5000-memory.dmp

Filesize
340KB

Download
memory/1720-366-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/1724-244-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/1760-312-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2108-515-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2116-392-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2120-785-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2168-650-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2184-794-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2200-812-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2204-740-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2228-111-0x0000000001F20000-0x0000000001F75000-memory.dmp

Filesize
340KB

Download
memory/2228-123-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2228-122-0x0000000001F20000-0x0000000001F75000-memory.dmp

Filesize
340KB

Download
memory/2228-110-0x0000000001F20000-0x0000000001F75000-memory.dmp

Filesize
340KB

Download
memory/2228-109-0x0000000001F20000-0x0000000001F75000-memory.dmp

Filesize
340KB

Download
memory/2264-464-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2328-473-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2356-596-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2372-722-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2384-299-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2456-830-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2468-99-0x0000000001F40000-0x0000000001F95000-memory.dmp

Filesize
340KB

Download
memory/2468-101-0x0000000001F40000-0x0000000001F95000-memory.dmp

Filesize
340KB

Download
memory/2468-115-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2468-114-0x0000000001F40000-0x0000000001F95000-memory.dmp

Filesize
340KB

Download
memory/2468-100-0x0000000001F40000-0x0000000001F95000-memory.dmp

Filesize
340KB

Download
memory/2516-803-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2560-614-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2684-578-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2712-384-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2760-233-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2776-419-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2808-695-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/2928-332-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/3092-588-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/3252-533-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/3264-102-0x0000000002070000-0x00000000020C5000-memory.dmp

Filesize
340KB

Download
memory/3264-103-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/3264-90-0x0000000002070000-0x00000000020C5000-memory.dmp

Filesize
340KB

Download
memory/3264-91-0x0000000002070000-0x00000000020C5000-memory.dmp

Filesize
340KB

Download
memory/3264-89-0x0000000002070000-0x00000000020C5000-memory.dmp

Filesize
340KB

Download
memory/3292-624-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/3380-139-0x0000000002090000-0x00000000020E5000-memory.dmp

Filesize
340KB

Download
memory/3380-159-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/3380-141-0x0000000002090000-0x00000000020E5000-memory.dmp

Filesize
340KB

Download
memory/3380-140-0x0000000002090000-0x00000000020E5000-memory.dmp

Filesize
340KB

Download
memory/3464-524-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/3476-498-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/3480-677-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/3648-758-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/3652-491-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/3656-428-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/3724-731-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/3832-455-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4028-132-0x0000000001F10000-0x0000000001F65000-memory.dmp

Filesize
340KB

Download
memory/4028-121-0x0000000001F10000-0x0000000001F65000-memory.dmp

Filesize
340KB

Download
memory/4028-120-0x0000000001F10000-0x0000000001F65000-memory.dmp

Filesize
340KB

Download
memory/4028-133-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4028-119-0x0000000001F10000-0x0000000001F65000-memory.dmp

Filesize
340KB

Download
memory/4044-52-0x0000000000580000-0x0000000000581000-memory.dmp

Filesize
4KB

Download
memory/4044-63-0x0000000001FF0000-0x00000000020EE000-memory.dmp

Filesize
1016KB

Download
memory/4044-51-0x0000000001F30000-0x0000000001F85000-memory.dmp

Filesize
340KB

Download
memory/4044-41-0x0000000001FF0000-0x00000000020EE000-memory.dmp

Filesize
1016KB

Download
memory/4044-61-0x0000000001F30000-0x0000000001F85000-memory.dmp

Filesize
340KB

Download
memory/4044-40-0x0000000001F30000-0x0000000001F85000-memory.dmp

Filesize
340KB

Download
memory/4044-47-0x0000000001F30000-0x0000000001F85000-memory.dmp

Filesize
340KB

Download
memory/4044-62-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4044-38-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4044-39-0x0000000001F30000-0x0000000001F85000-memory.dmp

Filesize
340KB

Download
memory/4144-200-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4196-255-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4268-561-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4276-750-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4280-266-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4332-341-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4428-291-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4444-167-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4444-149-0x00000000005A0000-0x00000000005F5000-memory.dmp

Filesize
340KB

Download
memory/4480-69-0x0000000002040000-0x0000000002095000-memory.dmp

Filesize
340KB

Download
memory/4480-83-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4480-82-0x0000000002040000-0x0000000002095000-memory.dmp

Filesize
340KB

Download
memory/4480-70-0x0000000002040000-0x0000000002095000-memory.dmp

Filesize
340KB

Download
memory/4480-71-0x0000000002040000-0x0000000002095000-memory.dmp

Filesize
340KB

Download
memory/4496-402-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4500-354-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4516-605-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4568-704-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4596-570-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4612-551-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4700-506-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4740-28-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4740-1-0x00000000021C0000-0x0000000002215000-memory.dmp

Filesize
340KB

Download
memory/4740-2-0x00000000021C0000-0x0000000002215000-memory.dmp

Filesize
340KB

Download
memory/4740-3-0x0000000002220000-0x000000000231E000-memory.dmp

Filesize
1016KB

Download
memory/4740-4-0x00000000021C0000-0x0000000002215000-memory.dmp

Filesize
340KB

Download
memory/4740-5-0x00000000021C0000-0x0000000002215000-memory.dmp

Filesize
340KB

Download
memory/4740-6-0x0000000002320000-0x0000000002321000-memory.dmp

Filesize
4KB

Download
memory/4740-42-0x0000000002220000-0x000000000231E000-memory.dmp

Filesize
1016KB

Download
memory/4740-0-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4740-33-0x00000000021C0000-0x0000000002215000-memory.dmp

Filesize
340KB

Download
memory/4792-178-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4828-767-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4864-60-0x0000000002080000-0x00000000020D5000-memory.dmp

Filesize
340KB

Download
memory/4864-72-0x0000000002080000-0x00000000020D5000-memory.dmp

Filesize
340KB

Download
memory/4864-59-0x0000000002080000-0x00000000020D5000-memory.dmp

Filesize
340KB

Download
memory/4864-58-0x0000000002080000-0x00000000020D5000-memory.dmp

Filesize
340KB

Download
memory/4864-73-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4876-374-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4900-26-0x0000000001F70000-0x0000000001FC5000-memory.dmp

Filesize
340KB

Download
memory/4900-29-0x00000000006C0000-0x00000000006C1000-memory.dmp

Filesize
4KB

Download
memory/4900-24-0x0000000001F70000-0x0000000001FC5000-memory.dmp

Filesize
340KB

Download
memory/4900-25-0x0000000001F70000-0x0000000001FC5000-memory.dmp

Filesize
340KB

Download
memory/4900-27-0x0000000001FD0000-0x00000000020CE000-memory.dmp

Filesize
1016KB

Download
memory/4900-49-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4900-50-0x0000000001FD0000-0x00000000020CE000-memory.dmp

Filesize
1016KB

Download
memory/4900-43-0x0000000001F70000-0x0000000001FC5000-memory.dmp

Filesize
340KB

Download
memory/4952-687-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4960-659-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4984-14-0x0000000001F00000-0x0000000001F55000-memory.dmp

Filesize
340KB

Download
memory/4984-16-0x0000000001F00000-0x0000000001F55000-memory.dmp

Filesize
340KB

Download
memory/4984-13-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4984-17-0x0000000001F60000-0x000000000205E000-memory.dmp

Filesize
1016KB

Download
memory/4984-15-0x0000000001F00000-0x0000000001F55000-memory.dmp

Filesize
340KB

Download
memory/4984-45-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/4984-32-0x0000000001F00000-0x0000000001F55000-memory.dmp

Filesize
340KB

Download
memory/4984-18-0x00000000021D0000-0x00000000021D1000-memory.dmp

Filesize
4KB

Download
memory/4984-46-0x0000000001F60000-0x000000000205E000-memory.dmp

Filesize
1016KB

Download
memory/5000-633-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download
memory/5004-189-0x0000000000400000-0x000000000040E000-memory.dmp

Filesize
56KB

Download