e099136e694e8bcd16f268c51119bc2652b9aa15e961b615d1bf5304522129f1

Analysis

max time kernel
0s
max time network
148s
platform
windows10-2004_x64
resource
win10v2004-20250314-en
resource tags

arch:x64arch:x86image:win10v2004-20250314-enlocale:en-usos:windows10-2004-x64system
submitted
31/03/2025, 15:15

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2025-03-31_eecd2c9498f72024c45a232f5e20e5e2_black-basta_cobalt-strike.exe
Size

266KB
MD5

eecd2c9498f72024c45a232f5e20e5e2
SHA1

576835bd29d13bf18cddc54fc740dd91227e6ebc
SHA256

e099136e694e8bcd16f268c51119bc2652b9aa15e961b615d1bf5304522129f1
SHA512

a06507f0e3d5b4f02e959eace08b46b0ec50ee9d34692eb876c7bd04c50a6deafe2698ca6e3346692edcb52c1b9306bf085baac5d8c3ae2100b243f94af67987
SSDEEP

6144:XUZyJ9BJGQOF1vf5pS8Vb6IJ6noeL3X81:5J9XXO7vxpS8xPKX81

Score

7^/10

aspackv2 discovery persistence

Malware Config

Signatures

ASPack v2.12-2.42 2 IoCs

Detects executables packed with ASPack v2.12-2.42

aspackv2

resource	yara_rule
behavioral1/files/0x000a0000000227cb-7.dat	aspack_v212_v242
behavioral1/files/0x00070000000242a1-222.dat	aspack_v212_v242

Executes dropped EXE 4 IoCs

pid	Process
4200	MSWDM.EXE
3980	MSWDM.EXE
3148	2025-03-31_EECD2C9498F72024C45A232F5E20E5E2_BLACK-BASTA_COBALT-STRIKE.EXE
2872	MSWDM.EXE

Adds Run key to start application 2 TTPs 6 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices\WDM = "MSWDM.EXE"	MSWDM.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\WDM = "MSWDM.EXE"	2025-03-31_eecd2c9498f72024c45a232f5e20e5e2_black-basta_cobalt-strike.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices\WDM = "MSWDM.EXE"	2025-03-31_eecd2c9498f72024c45a232f5e20e5e2_black-basta_cobalt-strike.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\WDM = "MSWDM.EXE"	MSWDM.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunServices\WDM = "MSWDM.EXE"	MSWDM.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\WDM = "MSWDM.EXE"	MSWDM.EXE

Drops file in Windows directory 2 IoCs

description	ioc	Process
File created	C:\WINDOWS\MSWDM.EXE	2025-03-31_eecd2c9498f72024c45a232f5e20e5e2_black-basta_cobalt-strike.exe
File opened for modification	C:\Windows\dev5C39.tmp	2025-03-31_eecd2c9498f72024c45a232f5e20e5e2_black-basta_cobalt-strike.exe

Program crash 4 IoCs

pid	pid_target	Process	procid_target
8236	16148	WerFault.exe	1116
8916	12440	WerFault.exe	1199
16220	6504	WerFault.exe	1205
13104	4152	WerFault.exe	1181

System Location Discovery: System Language Discovery 1 TTPs 4 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	2025-03-31_eecd2c9498f72024c45a232f5e20e5e2_black-basta_cobalt-strike.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	MSWDM.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	MSWDM.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	MSWDM.EXE

Suspicious behavior: EnumeratesProcesses 2 IoCs

pid	Process
3980	MSWDM.EXE
3980	MSWDM.EXE

Suspicious use of WriteProcessMemory 11 IoCs

description	pid	Process	procid_target
PID 2176 wrote to memory of 4200	2176	2025-03-31_eecd2c9498f72024c45a232f5e20e5e2_black-basta_cobalt-strike.exe	89
PID 2176 wrote to memory of 4200	2176	2025-03-31_eecd2c9498f72024c45a232f5e20e5e2_black-basta_cobalt-strike.exe	89
PID 2176 wrote to memory of 4200	2176	2025-03-31_eecd2c9498f72024c45a232f5e20e5e2_black-basta_cobalt-strike.exe	89
PID 2176 wrote to memory of 3980	2176	2025-03-31_eecd2c9498f72024c45a232f5e20e5e2_black-basta_cobalt-strike.exe	91
PID 2176 wrote to memory of 3980	2176	2025-03-31_eecd2c9498f72024c45a232f5e20e5e2_black-basta_cobalt-strike.exe	91
PID 2176 wrote to memory of 3980	2176	2025-03-31_eecd2c9498f72024c45a232f5e20e5e2_black-basta_cobalt-strike.exe	91
PID 3980 wrote to memory of 3148	3980	MSWDM.EXE	96
PID 3980 wrote to memory of 3148	3980	MSWDM.EXE	96
PID 4040 wrote to memory of 2872	4040	cmd.exe	186
PID 4040 wrote to memory of 2872	4040	cmd.exe	186
PID 4040 wrote to memory of 2872	4040	cmd.exe	186

C:\Users\Admin\AppData\Local\Temp\2025-03-31_eecd2c9498f72024c45a232f5e20e5e2_black-basta_cobalt-strike.exe
"C:\Users\Admin\AppData\Local\Temp\2025-03-31_eecd2c9498f72024c45a232f5e20e5e2_black-basta_cobalt-strike.exe"
1⤵
- Adds Run key to start application
- Drops file in Windows directory
- System Location Discovery: System Language Discovery
- Suspicious use of WriteProcessMemory
PID:2176
- C:\WINDOWS\MSWDM.EXE
  "C:\WINDOWS\MSWDM.EXE"
  2⤵
  - Executes dropped EXE
  - Adds Run key to start application
  - System Location Discovery: System Language Discovery
  PID:4200
- C:\WINDOWS\MSWDM.EXE
  -r!C:\Windows\dev5C39.tmp!C:\Users\Admin\AppData\Local\Temp\2025-03-31_eecd2c9498f72024c45a232f5e20e5e2_black-basta_cobalt-strike.exe! !
  2⤵
  - Executes dropped EXE
  - System Location Discovery: System Language Discovery
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of WriteProcessMemory
  PID:3980
- - C:\Users\Admin\AppData\Local\Temp\2025-03-31_EECD2C9498F72024C45A232F5E20E5E2_BLACK-BASTA_COBALT-STRIKE.EXE
    3⤵
    - Executes dropped EXE
    PID:3148

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
- Suspicious use of WriteProcessMemory
PID:4040
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  - Executes dropped EXE
  - Adds Run key to start application
  - System Location Discovery: System Language Discovery
  PID:2872

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:100
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4812

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6128
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:888

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5532
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4860

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1148
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2848

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1116
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:452

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5008
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3532

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4856
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6124

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5080
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3116

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4840
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:1256

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5112
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3716

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2184
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2296

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6140
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:692

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2608
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2020

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:844
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:536

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2980
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4652

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5692
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:548

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4360
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:5244

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2160
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6012

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:544
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:5320

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:3500
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:1260

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1216
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4572

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:3964
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3516

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1288
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4548

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6072
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3688

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:656
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2124

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1844
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:1716

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:3196
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4944

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5240
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2188

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1752
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3564

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4116
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2200

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:980
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3184

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5676
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2320

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6132
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:5772

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4816
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:1912

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:444
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:1692

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5252
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2840

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4580
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6512

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2872
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6612

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4876
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6588

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:3596
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4428

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6064
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6600

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:888
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6260

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4636
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6500

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5808
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6520

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4076
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3448

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5860
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6720

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:528
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7088

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2392
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6492

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1720
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2432

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5132
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7096

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4180
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7076

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1928
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7620

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5000
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7496

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5644
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3764

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:396
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7484

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4400
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6256

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1336
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7256

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4916
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:232

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1332
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2392

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:3060
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7404

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4896
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7352

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2416
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6068

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:3856
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7208

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2572
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3852

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:32
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:5808

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5212
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7616

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5884
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4620

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5236
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:5860

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5208
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2768

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5432
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:5780

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2932
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:388

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4948
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8856

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2500
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8208

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5996
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8160

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5476
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9000

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:3560
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8568

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2016
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8916

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1020
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3892

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1932
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8744

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6220
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9004

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6228
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9516

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6328
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2848

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6340
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9068

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6644
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2896

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6632
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7112

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6756
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7728

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6768
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10744

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6776
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4052

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6792
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9136

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6816
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:5820

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6860
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9460

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6952
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:1440

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6964
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3164

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6972
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11104

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6980
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9164

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7012
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11112

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7024
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9340

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2988
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9980

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:3724
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10912

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6608
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9148

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6908
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8740

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1976
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8536

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6716
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2664

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6496
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9264

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6688
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10580

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4076
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3952

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5832
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:5300

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7080
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10228

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6080
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11248

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7220
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8812

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7228
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6248

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7264
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6224

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7312
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6924

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7504
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6704

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7512
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:1504

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7632
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6100

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7640
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7308

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7712
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7476

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7720
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6148

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7788
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9000

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7800
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2180

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7856
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3588

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7848
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11596

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:404
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7364

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5464
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:232

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5816
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:12120

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7196
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:12900

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:692
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6976

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:3568
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:920

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7540
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6972

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7824
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11624

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7872
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11312

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7668
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:12244

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4048
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:13392

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7944
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6848

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7484
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11632

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:3428
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11372

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7768
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11960

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8012
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11916

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1756
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11608

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2784
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11532

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6932
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6584

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8164
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11108

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2040
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11540

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8160
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2320

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7496
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11636

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8100
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11464

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8456
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:13192

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8524
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11632

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8928
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:13292

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8936
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:12964

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9100
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:13808

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9116
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14188

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6612
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:13792

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6464
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:13340

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2392
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:13784

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6800
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14888

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6052
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14180

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8004
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:13472

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7208
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:13800

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5384
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7288

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:64
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14880

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5856
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14772

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8560
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:13748

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2272
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:13416

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4964
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8940

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8788
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14864

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7120
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14848

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1112
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14856

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9196
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:15236

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8284
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:13724

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8200
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7956

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:3732
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:5612

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5320
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8876

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2492
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7560

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4520
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:15120

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:220
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14828

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9248
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9212

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9256
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:12556

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9368
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8692

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9376
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14872

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9400
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:15576

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9408
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2056

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9880
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8396

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9888
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:15580

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9904
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:12316

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9932
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:16776

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9940
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14812

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9952
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:15260

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9960
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7036

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9972
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:5868

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:10000
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7476

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:10020
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14840

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:10032
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:15244

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:10108
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14500

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:10120
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7368

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:10172
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:15268

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:10180
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:15952

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9992
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4940

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:3688
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:15584

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1288
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:15252

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:10892
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:16676

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:10904

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:11048

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:11056

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:3992
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:16148
- - C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -u -p 16148 -s 740
    3⤵
    - Program crash
    PID:8236

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1152
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4944

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:10220
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:16784

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4184

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9464
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:15512

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9740
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:16792

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9800
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:16460

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9340
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9664

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1800
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:12252

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8748
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10244

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9460
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14552

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7112
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10440

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4900
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:13500

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:10116

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:10996

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6384
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6256

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8088
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11288

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6436
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10836

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1128
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:16284

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2208
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11184

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2348
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:5136

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1940
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6876

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7052
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11260

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6956
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10828

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:3956
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10728

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:10492
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3228

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6780

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:3576
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8760

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4844
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10364

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7164
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7884

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5068
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6764

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:10964
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:13808

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1184
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11980

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6540
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11976

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6236
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4284

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4848
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14008

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:11076
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9624

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6892
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:17376

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2664
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:15228

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:2408
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14924

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4548
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:15948

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6820
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8588

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:11328

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:11340
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10900

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:11404
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7452

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:11412
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14092

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:11472
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6760

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:11480
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4600

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:11996
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10784

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12004
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9068

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12212
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4804

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12220
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:12104

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9832
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9660

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6356
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:16080

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7628

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8816
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:15232

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6596
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10360

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:11580
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11936

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6296
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:12440
- - C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -u -p 12440 -s 2336
    3⤵
    - Program crash
    PID:8916

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6624
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3352

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7360
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4264

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1920

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12300
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9600

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12308
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2644

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12540
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3940

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12548
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:5456

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12564

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12572
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3476

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12652
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4152
- - C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -u -p 4152 -s 888
    3⤵
    - Program crash
    PID:13104

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12660
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:15512

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12672
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4252

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12680
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:13800

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12760
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8848

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12768
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:17008

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12780
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2956

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12788
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9616

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12800
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4336

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12808
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6120

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12872
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6504
- - C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -u -p 6504 -s 1304
    3⤵
    - Program crash
    PID:16220

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12880
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10368

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12976
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:16584

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12984

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13104

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13112
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:836

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13132
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9844

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13140
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:12596

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12388
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10112

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7760
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7804

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13912
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:16796

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13928
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11196

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13944
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9244

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13936
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9064

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13960

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13968
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6484

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14000
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10404

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14012
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14232

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14028

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14036
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:12432

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14048
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9004

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14056
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:16760

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14068

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14076
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4800

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14096
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10352

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14104
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9768

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14252

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14216
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4132

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14264
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4384

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14272
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:17120

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9388
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4316

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12384
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9996

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12120
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8312

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6168
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:3992

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:3064
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:12564

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12560
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:13224

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:3588
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9956

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7576
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9332

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12360
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10548

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12688

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12824
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:16992

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12840
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9888

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13432
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6400

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13460
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14852

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13292
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:16352

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:10016
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9884

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8984
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11552

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8352
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9568

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7268
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10428

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:1624
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14236

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14396
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4256

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14432
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6216

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14652
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7284

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14660
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2072

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:15348
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:16368

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:15356
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8552

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8704

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7784
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10760

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13780

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6976
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10860

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14360
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:5696

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9112
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6476

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8196
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:6324

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8252
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:9820

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:4296

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:11500
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:17256

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8204
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:13400

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14516

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:11132
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7368

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:10928
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11972

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8612
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:14420

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14824
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4624

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:11100
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:16688

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14784
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2312

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13196
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11588

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13696
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10408

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7852
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:12236

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13872
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10132

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13728

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8084
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:15640

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8216
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:7528

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:10500
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:16568

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7528

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:5704

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14992
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4620

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8488
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:17388

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:15344

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:15088
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:2188

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:12968
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:15860

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8716

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7940

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:6412

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:11948
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:5388

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8552

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9452

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14776

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:14792

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8332
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:4508

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:15408
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8592

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:15416

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:15668

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:15676
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:16640

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:15900
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10512

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:15980

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:15988

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:16012
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:12044

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:16020

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:16056

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:16064
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:1296

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:16092

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:16100

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:16204

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:16212
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:8120

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:16220

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:16268
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:15536

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:16276

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:16324
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10164

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:16352

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9708

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9156

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:16552
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10564

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:16568

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:16992

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:17000
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11284

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:17400
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10812

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:8832
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10868

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:13160
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:16208

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:7656

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 13416 -ip 13416
1⤵
PID:16732

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:9044
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:11444

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:10268

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:17016

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c MSWDM.EXE
1⤵
PID:16848
- C:\Windows\MSWDM.EXE
  MSWDM.EXE
  2⤵
  PID:10324

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 16460 -ip 16460
1⤵
PID:14852

C:\Windows\system32\sihost.exe
sihost.exe
1⤵
PID:8364
- C:\Windows\explorer.exe
  explorer.exe /LOADSAVEDWINDOWS
  2⤵
  PID:3100

C:\Windows\explorer.exe
explorer.exe
1⤵
PID:13628

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 12440 -ip 12440
1⤵
PID:1296

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 500 -p 6504 -ip 6504
1⤵
PID:12488

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 10728 -ip 10728
1⤵
PID:10804

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 424 -p 4152 -ip 4152
1⤵
PID:5184

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
PID:12632

C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe
"C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe" -ServerName:CortanaUI.AppX8z9r6jm96hw4bsbneegw0kyxx296wr9t.mca
1⤵
PID:3744

C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe shell32.dll,SHCreateLocalServerRunDll {9BA05972-F6A8-11CF-A442-00A0C90A8F39} -Embedding
1⤵
PID:7920

C:\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartMenuExperienceHost.exe
"C:\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartMenuExperienceHost.exe" -ServerName:App.AppXywbrabmsek0gm3tkwpr5kwzbs55tkqay.mca
1⤵
PID:5504

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

System Location Discovery

T1614

System Language Discovery

T1614.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\MSWDM.EXE

Filesize
48KB

MD5
621b0ea49162fa7b43e5d2c1f883ad66

SHA1
dc369203701d00f40cbde49883b6eaacfd44f0a7

SHA256
85cf1a8c4cb3a2a740d9c8a235e47ff593fa3eb4e674befcc2e6af0c777e07f7

SHA512
30b99f75d6dd414bf6227d686d00aeb29bb8efa23023cc77c2c1177d46bc4afd3714b785eb820da90f2fd11aee6a496098cf609c798b133a3a1e28374d138061

Download Submit
C:\Windows\dev5C39.tmp

Filesize
218KB

MD5
6a4e049d8c497d350a7bd54dfff99808

SHA1
7f1d32424c961542ae172c5b8c1611291c30fc4f

SHA256
59e5ae1e99c6a4ccc01e8abdc2534210ec5faa945754a89524b06381da8c20a1

SHA512
41169089fa67e1a0ff1360dc5428b89dcee0d642204ddb7dac80d6cf859caae3c2b14fa89ce72072fb780c0a93f53eb0ff9414a8e88b1d783bfa75c9c4ea353d

Download Submit
C:\Windows\dieB054.tmp

Filesize
597KB

MD5
4a1f1743db602fceb41a0aa9a32ada39

SHA1
303210785ccee519598daaf58c07b148b6032515

SHA256
3c1da2577927d993e6696ce4dff5ff8053ce2fce8ef41b4b84516b4473cba093

SHA512
df7a52aac80c231193000eb26dbda25f4df9573590bce5b699bbd4189cfc5830242cbd426d0f52c8a294d22fd8fe048006ebaecdd418d0b2c4f6b551a7548699

Download Submit
memory/232-214-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/388-230-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/452-30-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/452-32-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/536-64-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/536-58-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/548-74-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/548-84-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/692-62-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/692-53-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/888-28-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/888-26-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/1256-55-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/1256-47-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/1260-88-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/1260-82-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/1692-142-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/1692-146-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/1716-93-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/1716-95-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/1912-144-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/1912-141-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/2020-38-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/2020-139-0x0000000000520000-0x0000000000526000-memory.dmp

Filesize
24KB

Download
memory/2020-138-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/2124-109-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/2124-112-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/2176-10-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/2176-0-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/2188-134-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/2188-126-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/2200-123-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/2200-130-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/2296-66-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/2320-128-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/2320-120-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/2432-186-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/2840-135-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/2848-34-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/2848-36-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/2872-18-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/3116-41-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/3116-43-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/3184-132-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/3184-124-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/3448-152-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/3516-100-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/3516-91-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/3532-45-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/3532-50-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/3564-206-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/3564-113-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/3688-98-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/3716-140-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/3764-205-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/3764-201-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/3852-231-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/3980-12-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/4200-11-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/4200-118-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/4428-150-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/4548-80-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/4572-103-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/4572-184-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/4652-69-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/4812-22-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/4860-24-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/4944-116-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/4944-107-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/5244-101-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/5244-105-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/5320-72-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/5320-79-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/5772-115-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/5772-207-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6012-81-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6012-86-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6124-60-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6124-51-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6256-203-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6256-191-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6260-154-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6492-180-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6492-161-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6500-168-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6500-159-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6512-162-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6512-173-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6520-170-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6520-163-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6588-175-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6600-177-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6612-181-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/6720-183-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/7076-188-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/7088-192-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/7088-197-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/7096-194-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/7352-208-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/7404-210-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/7484-220-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/7496-215-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/7496-218-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/7620-228-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/7620-216-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/8160-229-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download
memory/8160-233-0x0000000000400000-0x0000000000414000-memory.dmp

Filesize
80KB

Download