darkcomet | 6d481b29bc81dc85cbe5ba4a8b82224d1b3dc0b8dadb012f5f92f4c8e4a14db6

Analysis

max time kernel
68s
max time network
102s
platform
windows11-21h2_x64
resource
win11-20250410-en
resource tags

arch:x64arch:x86image:win11-20250410-enlocale:en-usos:windows11-21h2-x64system
submitted
18/04/2025, 23:05

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe
Size

1.0MB
MD5

c0295404b7677140fb0a140dd0aca4e2
SHA1

d9335d5d88d9c310e1457142c3b6f0a3d0a91819
SHA256

6d481b29bc81dc85cbe5ba4a8b82224d1b3dc0b8dadb012f5f92f4c8e4a14db6
SHA512

38c6f47249622019d129eef71bc38f981532c921044f3e00c440315a1536813efabd3d1adeba10856004b8b0622ec63cec16cfae068bcf306310b967aac0a7c4
SSDEEP

12288:hJJPMPW54G8MRdYXRYgse02EC50RHZm9dGvF1Q7ylaX57R6BhkdPM2K3Dg4WHOuN:Hxe04IeYq1EZJ9B+t5hLc3tZ2j

Score

10^/10

darkcomet guest16 discovery persistence rat trojan

Malware Config

Extracted

Family

darkcomet

Botnet

Guest16

ccepic.no-ip.org:1225

Mutex

DC_MUTEX-MZ4A53Z

Attributes

gencode
GcDN=yut6eFK
install
false
offline_keylogger
true
persistence
false

rc4.plain

Signatures

Darkcomet
DarkComet is a remote access trojan (RAT) developed by Jean-Pierre Lesueur.
trojan rat darkcomet
Darkcomet family
darkcomet

Executes dropped EXE 64 IoCs

pid	Process
6048	ccepic.exe
4388	ccepic.exe
1760	ccepic.exe
5096	ccepic.exe
2204	ccepic.exe
3048	ccepic.exe
2056	ccepic.exe
5496	ccepic.exe
1260	ccepic.exe
3340	ccepic.exe
5188	ccepic.exe
132	ccepic.exe
5904	ccepic.exe
1524	ccepic.exe
904	ccepic.exe
352	ccepic.exe
5196	ccepic.exe
4556	ccepic.exe
4636	ccepic.exe
4760	ccepic.exe
3568	ccepic.exe
4540	ccepic.exe
1680	ccepic.exe
4200	ccepic.exe
5692	ccepic.exe
3000	ccepic.exe
5048	ccepic.exe
4524	ccepic.exe
3908	ccepic.exe
2032	ccepic.exe
5288	ccepic.exe
2068	ccepic.exe
32	ccepic.exe
5068	ccepic.exe
3656	ccepic.exe
916	ccepic.exe
556	ccepic.exe
352	ccepic.exe
2468	ccepic.exe
2556	ccepic.exe
2600	ccepic.exe
2980	ccepic.exe
4672	ccepic.exe
5712	ccepic.exe
1852	ccepic.exe
4388	ccepic.exe
2768	ccepic.exe
4788	ccepic.exe
608	ccepic.exe
3544	ccepic.exe
3548	ccepic.exe
4588	ccepic.exe
4908	ccepic.exe
2824	ccepic.exe
5280	ccepic.exe
2020	ccepic.exe
2496	ccepic.exe
3188	ccepic.exe
3536	ccepic.exe
2168	ccepic.exe
2468	ccepic.exe
2864	ccepic.exe
5028	ccepic.exe
3212	ccepic.exe

Uses the VBS compiler for execution 1 TTPs

Command and Scripting Interpreter
T1059

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-599783296-1627459723-2423478968-1000\Software\Microsoft\Windows\CurrentVersion\Run\ccepic = "C:\\Users\\Admin\\AppData\\Roaming\\ccepic\\ccepic\\7.9.1.0\\ccepic.exe"	ccepic.exe

Suspicious use of SetThreadContext 64 IoCs

description	pid	Process	procid_target
PID 2004 set thread context of 5728	2004	JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe	81
PID 6048 set thread context of 5856	6048	ccepic.exe	84
PID 4388 set thread context of 3060	4388	ccepic.exe	92
PID 1760 set thread context of 5056	1760	ccepic.exe	99
PID 5096 set thread context of 1104	5096	ccepic.exe	105
PID 2204 set thread context of 4740	2204	ccepic.exe	111
PID 3048 set thread context of 4936	3048	ccepic.exe	115
PID 2056 set thread context of 4192	2056	ccepic.exe	119
PID 5496 set thread context of 4816	5496	ccepic.exe	125
PID 1260 set thread context of 5152	1260	ccepic.exe	132
PID 3340 set thread context of 2360	3340	ccepic.exe	134
PID 5188 set thread context of 4924	5188	ccepic.exe	140
PID 132 set thread context of 5068	132	ccepic.exe	256
PID 5904 set thread context of 3188	5904	ccepic.exe	149
PID 1524 set thread context of 1336	1524	ccepic.exe	156
PID 904 set thread context of 1268	904	ccepic.exe	270
PID 352 set thread context of 5716	352	ccepic.exe	166
PID 5196 set thread context of 5168	5196	ccepic.exe	170
PID 4556 set thread context of 1848	4556	ccepic.exe	177
PID 4636 set thread context of 3864	4636	ccepic.exe	180
PID 4760 set thread context of 3212	4760	ccepic.exe	408
PID 3568 set thread context of 2144	3568	ccepic.exe	190
PID 4540 set thread context of 5872	4540	ccepic.exe	195
PID 1680 set thread context of 888	1680	ccepic.exe	200
PID 4200 set thread context of 5132	4200	ccepic.exe	205
PID 5692 set thread context of 4800	5692	ccepic.exe	210
PID 3000 set thread context of 5620	3000	ccepic.exe	327
PID 5048 set thread context of 4412	5048	ccepic.exe	220
PID 4524 set thread context of 5116	4524	ccepic.exe	225
PID 3908 set thread context of 676	3908	ccepic.exe	231
PID 2032 set thread context of 4280	2032	ccepic.exe	489
PID 5288 set thread context of 4224	5288	ccepic.exe	245
PID 2068 set thread context of 3128	2068	ccepic.exe	478
PID 32 set thread context of 248	32	ccepic.exe	254
PID 5068 set thread context of 5916	5068	ccepic.exe	259
PID 3656 set thread context of 3292	3656	ccepic.exe	501
PID 916 set thread context of 1520	916	ccepic.exe	269
PID 556 set thread context of 3172	556	ccepic.exe	510
PID 352 set thread context of 5176	352	ccepic.exe	613
PID 2468 set thread context of 2308	2468	ccepic.exe	285
PID 2556 set thread context of 5224	2556	ccepic.exe	289
PID 2600 set thread context of 5344	2600	ccepic.exe	643
PID 2980 set thread context of 3960	2980	ccepic.exe	299
PID 4672 set thread context of 5616	4672	ccepic.exe	305
PID 5712 set thread context of 2388	5712	ccepic.exe	309
PID 1852 set thread context of 4820	1852	ccepic.exe	426
PID 4388 set thread context of 4372	4388	ccepic.exe	319
PID 2768 set thread context of 2372	2768	ccepic.exe	325
PID 4788 set thread context of 4860	4788	ccepic.exe	329
PID 608 set thread context of 5216	608	ccepic.exe	677
PID 3544 set thread context of 1552	3544	ccepic.exe	683
PID 3548 set thread context of 6092	3548	ccepic.exe	345
PID 4588 set thread context of 3836	4588	ccepic.exe	350
PID 4908 set thread context of 3356	4908	ccepic.exe	354
PID 2824 set thread context of 5252	2824	ccepic.exe	360
PID 5280 set thread context of 132	5280	ccepic.exe	739
PID 2020 set thread context of 5624	2020	ccepic.exe	370
PID 2496 set thread context of 1004	2496	ccepic.exe	376
PID 3188 set thread context of 2856	3188	ccepic.exe	382
PID 3536 set thread context of 2096	3536	ccepic.exe	389
PID 2168 set thread context of 1512	2168	ccepic.exe	753
PID 2468 set thread context of 5740	2468	ccepic.exe	399
PID 2864 set thread context of 5592	2864	ccepic.exe	769
PID 5028 set thread context of 3744	5028	ccepic.exe	762

Program crash 64 IoCs

pid	pid_target	Process	procid_target
3148	5728	WerFault.exe	81
3952	5856	WerFault.exe	84
4836	3060	WerFault.exe	92
2748	5056	WerFault.exe	99
1172	5116	WerFault.exe	225
2796	676	WerFault.exe	231
5036	4280	WerFault.exe	237
2136	4224	WerFault.exe	245
1088	132	WerFault.exe	364
460	5624	WerFault.exe	370
3088	1004	WerFault.exe	376
3840	2096	WerFault.exe	389
3196	2600	WerFault.exe	518
5580	2556	WerFault.exe	525
4536	1600	WerFault.exe	537
4800	2164	WerFault.exe	547
3108	3696	WerFault.exe	672
3060	1552	WerFault.exe	683
772	4404	WerFault.exe	689
5184	4548	WerFault.exe	700
5836	4484	WerFault.exe	827
4560	4988	WerFault.exe	838
5896	2476	WerFault.exe	849
1000	5852	WerFault.exe	860
5952	1376	WerFault.exe	986
2260	3216	WerFault.exe	996
5972	3960	WerFault.exe	1007
4928	1828	WerFault.exe	1018
4244	5128	WerFault.exe	1139
1760	5580	WerFault.exe	1146
5064	4636	WerFault.exe	1156
1432	2556	WerFault.exe	1167
2796	5376	WerFault.exe	1294
4736	6020	WerFault.exe	1299
3892	4448	WerFault.exe	1317
388	5348	Process not Found	1321
3696	5236	Process not Found	1443
884	1988	Process not Found	1448
3488	5140	Process not Found	1469
5356	3688	Process not Found	1476
732	4992	Process not Found	1596
5856	1508	Process not Found	1604
5712	4412	Process not Found	1618
4124	5704	Process not Found	1624
1440	4048	Process not Found	1746
3664	5680	Process not Found	1756
5064	4632	Process not Found	1772
5252	5288	Process not Found	1780
1532	1812	Process not Found	1894
2276	1552	Process not Found	1911
4872	5168	Process not Found	1926
5188	536	Process not Found	1933
3696	5472	Process not Found	2053
852	744	Process not Found	2069
5952	3744	Process not Found	2085
2600	996	Process not Found	2092
3488	5848	Process not Found	2202
6016	2540	Process not Found	2218
2020	6076	Process not Found	2235
1980	2660	Process not Found	2246
4412	380	Process not Found	2367
1404	3664	Process not Found	2378
5364	1076	Process not Found	2393
4864	6064	Process not Found	2404

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ccepic.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 5752 wrote to memory of 6048	5752	cmd.exe	80
PID 5752 wrote to memory of 6048	5752	cmd.exe	80
PID 5752 wrote to memory of 6048	5752	cmd.exe	80
PID 2004 wrote to memory of 5728	2004	JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe	81
PID 2004 wrote to memory of 5728	2004	JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe	81
PID 2004 wrote to memory of 5728	2004	JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe	81
PID 2004 wrote to memory of 5728	2004	JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe	81
PID 2004 wrote to memory of 5728	2004	JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe	81
PID 2004 wrote to memory of 5728	2004	JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe	81
PID 2004 wrote to memory of 5728	2004	JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe	81
PID 2004 wrote to memory of 5728	2004	JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe	81
PID 2004 wrote to memory of 5728	2004	JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe	81
PID 2004 wrote to memory of 5728	2004	JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe	81
PID 2004 wrote to memory of 5728	2004	JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe	81
PID 2004 wrote to memory of 5728	2004	JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe	81
PID 2004 wrote to memory of 5728	2004	JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe	81
PID 2004 wrote to memory of 5728	2004	JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe	81
PID 6048 wrote to memory of 5856	6048	ccepic.exe	84
PID 6048 wrote to memory of 5856	6048	ccepic.exe	84
PID 6048 wrote to memory of 5856	6048	ccepic.exe	84
PID 6048 wrote to memory of 5856	6048	ccepic.exe	84
PID 6048 wrote to memory of 5856	6048	ccepic.exe	84
PID 6048 wrote to memory of 5856	6048	ccepic.exe	84
PID 6048 wrote to memory of 5856	6048	ccepic.exe	84
PID 6048 wrote to memory of 5856	6048	ccepic.exe	84
PID 6048 wrote to memory of 5856	6048	ccepic.exe	84
PID 6048 wrote to memory of 5856	6048	ccepic.exe	84
PID 6048 wrote to memory of 5856	6048	ccepic.exe	84
PID 6048 wrote to memory of 5856	6048	ccepic.exe	84
PID 6048 wrote to memory of 5856	6048	ccepic.exe	84
PID 6048 wrote to memory of 5856	6048	ccepic.exe	84
PID 988 wrote to memory of 4388	988	cmd.exe	88
PID 988 wrote to memory of 4388	988	cmd.exe	88
PID 988 wrote to memory of 4388	988	cmd.exe	88
PID 4388 wrote to memory of 3060	4388	ccepic.exe	92
PID 4388 wrote to memory of 3060	4388	ccepic.exe	92
PID 4388 wrote to memory of 3060	4388	ccepic.exe	92
PID 4388 wrote to memory of 3060	4388	ccepic.exe	92
PID 4388 wrote to memory of 3060	4388	ccepic.exe	92
PID 4388 wrote to memory of 3060	4388	ccepic.exe	92
PID 4388 wrote to memory of 3060	4388	ccepic.exe	92
PID 4388 wrote to memory of 3060	4388	ccepic.exe	92
PID 4388 wrote to memory of 3060	4388	ccepic.exe	92
PID 4388 wrote to memory of 3060	4388	ccepic.exe	92
PID 4388 wrote to memory of 3060	4388	ccepic.exe	92
PID 4388 wrote to memory of 3060	4388	ccepic.exe	92
PID 4388 wrote to memory of 3060	4388	ccepic.exe	92
PID 4388 wrote to memory of 3060	4388	ccepic.exe	92
PID 4296 wrote to memory of 1760	4296	cmd.exe	96
PID 4296 wrote to memory of 1760	4296	cmd.exe	96
PID 4296 wrote to memory of 1760	4296	cmd.exe	96
PID 1760 wrote to memory of 5056	1760	ccepic.exe	99
PID 1760 wrote to memory of 5056	1760	ccepic.exe	99
PID 1760 wrote to memory of 5056	1760	ccepic.exe	99
PID 1760 wrote to memory of 5056	1760	ccepic.exe	99
PID 1760 wrote to memory of 5056	1760	ccepic.exe	99
PID 1760 wrote to memory of 5056	1760	ccepic.exe	99
PID 1760 wrote to memory of 5056	1760	ccepic.exe	99
PID 1760 wrote to memory of 5056	1760	ccepic.exe	99
PID 1760 wrote to memory of 5056	1760	ccepic.exe	99
PID 1760 wrote to memory of 5056	1760	ccepic.exe	99
PID 1760 wrote to memory of 5056	1760	ccepic.exe	99
PID 1760 wrote to memory of 5056	1760	ccepic.exe	99
PID 1760 wrote to memory of 5056	1760	ccepic.exe	99

C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe
"C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_c0295404b7677140fb0a140dd0aca4e2.exe"
1⤵
- Suspicious use of SetThreadContext
- System Location Discovery: System Language Discovery
- Suspicious use of WriteProcessMemory
PID:2004
- C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
  C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
  2⤵
  PID:5728
- - C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -u -p 5728 -s 28
    3⤵
    - Program crash
    PID:3148

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
- Suspicious use of WriteProcessMemory
PID:5752
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  - Suspicious use of WriteProcessMemory
  PID:6048
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5856
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 5856 -s 28
      4⤵
      Program crash
      PID:3952

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
- Suspicious use of WriteProcessMemory
PID:988
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  - Suspicious use of WriteProcessMemory
  PID:4388
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3060
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3060 -s 28
      4⤵
      Program crash
      PID:4836

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 412 -p 5728 -ip 5728
1⤵
PID:2544

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 5856 -ip 5856
1⤵
PID:5324

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
- Suspicious use of WriteProcessMemory
PID:4296
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  - Suspicious use of WriteProcessMemory
  PID:1760
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5056
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 5056 -s 28
      4⤵
      Program crash
      PID:2748

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 448 -p 3060 -ip 3060
1⤵
PID:1160

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4900
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:5096
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1104

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 188 -p 5056 -ip 5056
1⤵
PID:3316

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3548
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  - System Location Discovery: System Language Discovery
  PID:2204
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4740

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 480 -p 1104 -ip 1104
1⤵
PID:1172

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4500
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  - System Location Discovery: System Language Discovery
  PID:3048
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4936

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4700
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:2056
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4192

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 4740 -ip 4740
1⤵
PID:4580

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 4936 -ip 4936
1⤵
PID:2152

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2796
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:5496
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4816

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 4192 -ip 4192
1⤵
PID:3832

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:680
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:1260
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5152

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 4816 -ip 4816
1⤵
PID:532

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4628
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  - System Location Discovery: System Language Discovery
  PID:3340
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2360

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1432
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:5188
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4924

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 5152 -ip 5152
1⤵
PID:2712

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 2360 -ip 2360
1⤵
PID:3516

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2840
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:132
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5068

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 4924 -ip 4924
1⤵
PID:5248

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5024
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:5904
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3188

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4568
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:1524
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1336

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 5068 -ip 5068
1⤵
PID:4664

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 3188 -ip 3188
1⤵
PID:2196

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5376
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Adds Run key to start application
  - Suspicious use of SetThreadContext
  PID:904
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1268

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2668
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:352
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5716

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 1336 -ip 1336
1⤵
PID:4824

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 1268 -ip 1268
1⤵
PID:1520

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3460
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:5196
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5168

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3200
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  - System Location Discovery: System Language Discovery
  PID:4556
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1848

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 5716 -ip 5716
1⤵
PID:3328

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 5168 -ip 5168
1⤵
PID:5432

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1752
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Adds Run key to start application
  - Suspicious use of SetThreadContext
  PID:4636
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3864

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3368
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:4760
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3212

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 1848 -ip 1848
1⤵
PID:2308

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 3864 -ip 3864
1⤵
PID:2356

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5564
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:3568
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2144

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 3212 -ip 3212
1⤵
PID:3124

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4948
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Adds Run key to start application
  - Suspicious use of SetThreadContext
  - System Location Discovery: System Language Discovery
  PID:4540
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5872

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 2144 -ip 2144
1⤵
PID:852

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:6036
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:1680
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:888

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 5872 -ip 5872
1⤵
PID:5712

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2340
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Adds Run key to start application
  - Suspicious use of SetThreadContext
  PID:4200
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5132

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 188 -p 888 -ip 888
1⤵
PID:6048

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4840
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:5692
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4800

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 480 -p 5132 -ip 5132
1⤵
PID:2224

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5092
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:3000
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5620

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 188 -p 4800 -ip 4800
1⤵
PID:3540

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4892
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:5048
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4412

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 188 -p 5620 -ip 5620
1⤵
PID:3164

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4776
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:4524
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5116
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 5116 -s 28
      4⤵
      Program crash
      PID:1172

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 4412 -ip 4412
1⤵
PID:3048

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4888
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:3908
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:676
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 676 -s 32
      4⤵
      Program crash
      PID:2796

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 5116 -ip 5116
1⤵
PID:5984

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4796
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:2032
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4280
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4280 -s 28
      4⤵
      Program crash
      PID:5036

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 448 -p 676 -ip 676
1⤵
PID:5104

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2604
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Adds Run key to start application
  - Suspicious use of SetThreadContext
  PID:5288
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4224
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4224 -s 28
      4⤵
      Program crash
      PID:2136

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 364 -p 4280 -ip 4280
1⤵
PID:2672

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5456
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  - System Location Discovery: System Language Discovery
  PID:2068
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3128

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1616
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:32
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:248

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 448 -p 4224 -ip 4224
1⤵
PID:2024

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 3128 -ip 3128
1⤵
PID:3364

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:416
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Adds Run key to start application
  - Suspicious use of SetThreadContext
  PID:5068
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5916

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 248 -ip 248
1⤵
PID:3668

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5348
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Adds Run key to start application
  - Suspicious use of SetThreadContext
  PID:3656
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3292

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 5916 -ip 5916
1⤵
PID:5648

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2856
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:916
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1520

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 3292 -ip 3292
1⤵
PID:1200

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3488
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  - System Location Discovery: System Language Discovery
  PID:556
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3172

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 364 -p 1520 -ip 1520
1⤵
PID:1268

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5896
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:352
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5176

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1956
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  - System Location Discovery: System Language Discovery
  PID:2468
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2308

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3172 -ip 3172
1⤵
PID:1756

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 5176 -ip 5176
1⤵
PID:3116

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1828
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:2556
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5224

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 364 -p 2308 -ip 2308
1⤵
PID:2472

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2356
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:2600
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5344

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 5224 -ip 5224
1⤵
PID:5740

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3304
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:2980
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3960

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 364 -p 5344 -ip 5344
1⤵
PID:1064

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2972
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:4672
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5616

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 448 -p 3960 -ip 3960
1⤵
PID:5580

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5664
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:5712
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2388

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 5616 -ip 5616
1⤵
PID:2076

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3660
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Adds Run key to start application
  - Suspicious use of SetThreadContext
  PID:1852
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4820

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 2388 -ip 2388
1⤵
PID:4032

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4928
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Adds Run key to start application
  - Suspicious use of SetThreadContext
  PID:4388
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4372

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3108
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:2768
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2372

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 4820 -ip 4820
1⤵
PID:2544

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 4372 -ip 4372
1⤵
PID:1228

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5128
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:4788
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4860

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5064
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:608
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5216

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 364 -p 2372 -ip 2372
1⤵
PID:5620

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 4860 -ip 4860
1⤵
PID:4748

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4844
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:3544
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1552

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 5216 -ip 5216
1⤵
PID:4416

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2704
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:3548
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:6092

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 1552 -ip 1552
1⤵
PID:3632

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5060
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:4588
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3836

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 6092 -ip 6092
1⤵
PID:5496

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2056
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:4908
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3356

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1936
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:2824
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5252

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 3836 -ip 3836
1⤵
PID:4216

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 3356 -ip 3356
1⤵
PID:1296

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1396
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:5288
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:5280
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:132
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 132 -s 28
      4⤵
      Program crash
      PID:1088

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 5252 -ip 5252
1⤵
PID:2540

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2208
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:2020
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5624
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 5624 -s 28
      4⤵
      Program crash
      PID:460

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 132 -ip 132
1⤵
PID:32

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:6020
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:2496
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1004
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 1004 -s 28
      4⤵
      Program crash
      PID:3088

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 5624 -ip 5624
1⤵
PID:2840

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4568
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Adds Run key to start application
  - Suspicious use of SetThreadContext
  PID:3188
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2856

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 1004 -ip 1004
1⤵
PID:1924

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3508
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:3536
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2096
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2096 -s 28
      4⤵
      Program crash
      PID:3840

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 2856 -ip 2856
1⤵
PID:5484

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3172
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:2168
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1512

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4872
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:2468
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5740

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 2096 -ip 2096
1⤵
PID:1648

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 448 -p 1512 -ip 1512
1⤵
PID:1564

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1076
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:2864
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5592

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2420
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:5028
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3744

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 5740 -ip 5740
1⤵
PID:6128

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 5592 -ip 5592
1⤵
PID:2084

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2716
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Executes dropped EXE
  PID:3212
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2984

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2980
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5568
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:6064

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 3744 -ip 3744
1⤵
PID:5360

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 2984 -ip 2984
1⤵
PID:5604

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4436
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:2792
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5576

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 6064 -ip 6064
1⤵
PID:4032

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1880
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2340
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3316

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 5576 -ip 5576
1⤵
PID:5972

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4820
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:1228
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5088

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 3316 -ip 3316
1⤵
PID:6048

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5220
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:6056
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5052

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 5088 -ip 5088
1⤵
PID:1996

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5148
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:3000
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5084
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2500

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 5052 -ip 5052
1⤵
PID:4788

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3108
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - System Location Discovery: System Language Discovery
  PID:4248
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3120

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 2500 -ip 2500
1⤵
PID:5208

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4936
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:608
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5856
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5164

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 3120 -ip 3120
1⤵
PID:4580

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2676
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3608
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3008

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 5164 -ip 5164
1⤵
PID:5112

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3332
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:3548
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:4708
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2044

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1960
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4908
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4816

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 3008 -ip 3008
1⤵
PID:4044

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 2044 -ip 2044
1⤵
PID:5480

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3704
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:4888
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4288

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5188
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2736
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:32

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 4816 -ip 4816
1⤵
PID:5844

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 4288 -ip 4288
1⤵
PID:2012

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3980
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3128
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4632

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 32 -ip 32
1⤵
PID:4628

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5744
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:1488
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4280

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 4632 -ip 4632
1⤵
PID:4008

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1576
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3928
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2644

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5852
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:2612
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2288

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 580 -p 4280 -ip 4280
1⤵
PID:1924

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 2644 -ip 2644
1⤵
PID:4916

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3176
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:4516
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1648

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4568
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3320
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1220

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 2288 -ip 2288
1⤵
PID:3292

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 1648 -ip 1648
1⤵
PID:388

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1512
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:1528
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:6128

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3172
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:640
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2600
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2600 -s 28
      4⤵
      Program crash
      PID:3196

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 364 -p 1220 -ip 1220
1⤵
PID:644

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 6128 -ip 6128
1⤵
PID:5612

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2368
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - System Location Discovery: System Language Discovery
  PID:2924
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2556
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2556 -s 28
      4⤵
      Program crash
      PID:5580

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 364 -p 2600 -ip 2600
1⤵
PID:5196

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3744
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5788
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5344

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 2556 -ip 2556
1⤵
PID:5872

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3664
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:4032
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1600
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 1600 -s 28
      4⤵
      Program crash
      PID:4536

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 448 -p 5344 -ip 5344
1⤵
PID:1160

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3556
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:2980
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - System Location Discovery: System Language Discovery
  PID:6016
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3692

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5372
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:5576
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5476
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2164
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2164 -s 28
      4⤵
      Program crash
      PID:4800

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 1600 -ip 1600
1⤵
PID:4436

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 3692 -ip 3692
1⤵
PID:2340

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5284
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5088
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4396

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4124
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:1312
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4412

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 2164 -ip 2164
1⤵
PID:1168

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 4396 -ip 4396
1⤵
PID:5324

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5216
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4964
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1908

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 364 -p 4412 -ip 4412
1⤵
PID:4272

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5048
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5532
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3068

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 1908 -ip 1908
1⤵
PID:3108

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4404
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4592
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3952

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 3068 -ip 3068
1⤵
PID:5064

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3444
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3136
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4400

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1504
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3832
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4904

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 3952 -ip 3952
1⤵
PID:5012

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 4400 -ip 4400
1⤵
PID:5480

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4548
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2244
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4888

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 4904 -ip 4904
1⤵
PID:4836

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2824
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3704
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1432

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 4888 -ip 4888
1⤵
PID:2012

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4624
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2736
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3128

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 1432 -ip 1432
1⤵
PID:2712

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4620
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4008
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1896

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 3128 -ip 3128
1⤵
PID:1260

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5472
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4040
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2648

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 1896 -ip 1896
1⤵
PID:5248

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1548
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:1012
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5176

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 2648 -ip 2648
1⤵
PID:332

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:556
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4560
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1648

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 5176 -ip 5176
1⤵
PID:5024

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5144
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:4516
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:1532
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:352

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 1648 -ip 1648
1⤵
PID:3480

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5772
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2168
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5612

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 352 -ip 352
1⤵
PID:4932

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2932
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:2028
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5196

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 5612 -ip 5612
1⤵
PID:248

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5816
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3124
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3864

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 5196 -ip 5196
1⤵
PID:4064

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5432
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2812
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5344

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 596 -p 3864 -ip 3864
1⤵
PID:6100

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1872
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - System Location Discovery: System Language Discovery
  PID:5300
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:852

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 5344 -ip 5344
1⤵
PID:2620

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2332
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2144
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5800

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 852 -ip 852
1⤵
PID:5528

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4032
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4680
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3200

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 5800 -ip 5800
1⤵
PID:2112

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1572
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3204
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3848

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 3200 -ip 3200
1⤵
PID:2460

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1880
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2192
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5284

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 3848 -ip 3848
1⤵
PID:5972

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4396
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4188
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3696
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3696 -s 28
      4⤵
      Program crash
      PID:3108

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 5284 -ip 5284
1⤵
PID:1660

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4104
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3632
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4768

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 3696 -ip 3696
1⤵
PID:6124

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4576
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:5216
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:5984
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1552
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 1552 -s 28
      4⤵
      Program crash
      PID:3060

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 4768 -ip 4768
1⤵
PID:3068

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5980
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:3120
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4736
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4404
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4404 -s 28
      4⤵
      Program crash
      PID:772

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 664 -p 1552 -ip 1552
1⤵
PID:4936

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2660
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:3444
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4520

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 4404 -ip 4404
1⤵
PID:2204

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4500
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5456
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4548
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4548 -s 28
      4⤵
      Program crash
      PID:5184

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 4520 -ip 4520
1⤵
PID:5444

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4708
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - System Location Discovery: System Language Discovery
  PID:4796
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1444

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 4548 -ip 4548
1⤵
PID:5060

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1432
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4700
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5652

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 1444 -ip 1444
1⤵
PID:1888

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2736
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - System Location Discovery: System Language Discovery
  PID:5288
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1916

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 5652 -ip 5652
1⤵
PID:5916

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1896
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2196
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:764

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1488
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5204
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1584

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 1916 -ip 1916
1⤵
PID:332

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 596 -p 764 -ip 764
1⤵
PID:1404

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3976
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4236
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4952

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 560 -p 1584 -ip 1584
1⤵
PID:1344

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5716
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5764
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3880

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 596 -p 4952 -ip 4952
1⤵
PID:5696

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1756
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:388
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1140

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 572 -p 3880 -ip 3880
1⤵
PID:2668

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:132
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2472
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2028

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5468
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:6000
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5816

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 632 -p 1140 -ip 1140
1⤵
PID:5224

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 2028 -ip 2028
1⤵
PID:2536

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5608
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2588
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5344

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1512
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5124
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4504

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 628 -p 5816 -ip 5816
1⤵
PID:5956

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 5344 -ip 5344
1⤵
PID:1032

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3960
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:1872
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5800

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 636 -p 4504 -ip 4504
1⤵
PID:3744

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3540
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:2340
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - System Location Discovery: System Language Discovery
  PID:2144
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2980

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 5800 -ip 5800
1⤵
PID:1664

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5592
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3200
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:988

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 592 -p 2980 -ip 2980
1⤵
PID:2460

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1372
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:4812
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3316

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 988 -ip 988
1⤵
PID:3204

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2076
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3156
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:996

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 3316 -ip 3316
1⤵
PID:5704

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5076
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:2316
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:656

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 996 -ip 996
1⤵
PID:2104

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:716
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2052
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5128

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 656 -ip 656
1⤵
PID:1196

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4724
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5580
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2352

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 608 -p 5128 -ip 5128
1⤵
PID:4616

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4104
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:4576
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4268

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 516 -p 2352 -ip 2352
1⤵
PID:4232

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4736
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2728
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4288

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 604 -p 4268 -ip 4268
1⤵
PID:5876

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4196
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:4852
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2540

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 4288 -ip 4288
1⤵
PID:4148

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5000
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2604
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3980

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 2540 -ip 2540
1⤵
PID:5060

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2056
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:1888
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4484
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4484 -s 28
      4⤵
      Program crash
      PID:5836

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 3980 -ip 3980
1⤵
PID:4488

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2012
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:396
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5648

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 520 -p 4484 -ip 4484
1⤵
PID:1924

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3456
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5280
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4988
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4988 -s 28
      4⤵
      Program crash
      PID:4560

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 5648 -ip 5648
1⤵
PID:1284

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1404
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5464
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1584

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 4988 -ip 4988
1⤵
PID:1268

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3292
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5780
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2476
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2476 -s 28
      4⤵
      Program crash
      PID:5896

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 1584 -ip 1584
1⤵
PID:2648

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3824
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:676
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:556

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 2476 -ip 2476
1⤵
PID:3760

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2136
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:4640
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5852
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 5852 -s 28
      4⤵
      Program crash
      PID:1000

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 556 -ip 556
1⤵
PID:2860

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:460
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:856
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1088

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:228
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5816
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1468

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 644 -p 5852 -ip 5852
1⤵
PID:5168

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 1088 -ip 1088
1⤵
PID:324

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4024
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5296
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5872

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 1468 -ip 1468
1⤵
PID:2368

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3124
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:3864
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - System Location Discovery: System Language Discovery
  PID:852
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5540

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 5872 -ip 5872
1⤵
PID:3388

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2348
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:2864
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - System Location Discovery: System Language Discovery
  PID:5040
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:6080

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 5540 -ip 5540
1⤵
PID:5548

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5300
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:4804
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5372

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 6080 -ip 6080
1⤵
PID:1048

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5564
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:2716
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4980

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 5372 -ip 5372
1⤵
PID:3064

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3212
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5600
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1312

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 4980 -ip 4980
1⤵
PID:6112

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3748
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5864
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5664

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 1312 -ip 1312
1⤵
PID:4884

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4996
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:4512
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4936

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 5664 -ip 5664
1⤵
PID:3632

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3740
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4748
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4744

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 4936 -ip 4936
1⤵
PID:5128

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1704
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4832
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2188

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 4744 -ip 4744
1⤵
PID:5292

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2556
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5980
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4416

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3608
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:4248
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5480
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2336

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 2188 -ip 2188
1⤵
PID:5044

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 4416 -ip 4416
1⤵
PID:4520

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4536
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4676
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2752

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 2336 -ip 2336
1⤵
PID:4500

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3548
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4796
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3572

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 2752 -ip 2752
1⤵
PID:2560

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2164
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - System Location Discovery: System Language Discovery
  PID:3472
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3112

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3108
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5428
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5012

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 3572 -ip 3572
1⤵
PID:5260

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 3112 -ip 3112
1⤵
PID:4628

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5908
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2232
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4924

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 492 -p 5012 -ip 5012
1⤵
PID:4572

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1552
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:1488
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1404

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 4924 -ip 4924
1⤵
PID:5380

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3456
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:1464
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3860

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:776
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5768
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4308

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 1404 -ip 1404
1⤵
PID:6044

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 3860 -ip 3860
1⤵
PID:5740

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3992
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:1220
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3892
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3344

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 480 -p 4308 -ip 4308
1⤵
PID:2344

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1140
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5660
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3812

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 3344 -ip 3344
1⤵
PID:804

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5928
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4872
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1376
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 1376 -s 28
      4⤵
      Program crash
      PID:5952

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 544 -p 3812 -ip 3812
1⤵
PID:416

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:460
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2800
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:6064

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 1376 -ip 1376
1⤵
PID:3688

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:6000
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:4024
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3216
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3216 -s 28
      4⤵
      Program crash
      PID:2260

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 6064 -ip 6064
1⤵
PID:1096

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3180
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - System Location Discovery: System Language Discovery
  PID:5992
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2216

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 3216 -ip 3216
1⤵
PID:5800

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1852
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:6016
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:1656
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3960
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 3960 -s 28
      4⤵
      Program crash
      PID:5972

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 2216 -ip 2216
1⤵
PID:2864

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3200
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:2016
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2152

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 3960 -ip 3960
1⤵
PID:3568

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4892
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2340
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1828
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 1828 -s 28
      4⤵
      Program crash
      PID:4928

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 2152 -ip 2152
1⤵
PID:4896

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4912
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:1312
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4660
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:608

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 1828 -ip 1828
1⤵
PID:2316

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:6048
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3000
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5112

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 608 -ip 608
1⤵
PID:5164

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4996
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:4744
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3544

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 5112 -ip 5112
1⤵
PID:3468

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4820
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4764
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1704

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 3544 -ip 3544
1⤵
PID:4656

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1700
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:1688
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4400

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 1704 -ip 1704
1⤵
PID:2792

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5440
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2336
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2672

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 4400 -ip 4400
1⤵
PID:2432

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5136
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3136
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1888

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4904
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2068
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4216

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 2672 -ip 2672
1⤵
PID:4420

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 576 -p 1888 -ip 1888
1⤵
PID:5152

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4776
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3548
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2856

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3836
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5288
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4924

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 448 -p 4216 -ip 4216
1⤵
PID:5008

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 2856 -ip 2856
1⤵
PID:6020

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3696
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4592
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4600

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3908
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2824
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3760

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 4924 -ip 4924
1⤵
PID:2232

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 4600 -ip 4600
1⤵
PID:4404

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3092
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:2196
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:2736
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2344

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 644 -p 3760 -ip 3760
1⤵
PID:4668

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3456
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3928
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5188

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 568 -p 2344 -ip 2344
1⤵
PID:3188

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5436
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:5556
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:416

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 5188 -ip 5188
1⤵
PID:1532

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3896
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3320
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5772

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 416 -ip 416
1⤵
PID:5364

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1140
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2308
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5468

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 5772 -ip 5772
1⤵
PID:1956

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3304
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3388
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5688

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2924
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2932
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2776

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 648 -p 5468 -ip 5468
1⤵
PID:5928

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 660 -p 5688 -ip 5688
1⤵
PID:5068

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5516
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5932
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5896

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1872
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:3480
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2192

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 2776 -ip 2776
1⤵
PID:2348

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 5896 -ip 5896
1⤵
PID:2160

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3488
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2992
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4496

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 2192 -ip 2192
1⤵
PID:5040

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1752
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:1420
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3156

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 4496 -ip 4496
1⤵
PID:5592

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2112
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:1196
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5128
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 5128 -s 28
      4⤵
      Program crash
      PID:4244

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3540
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4912
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5580
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 5580 -s 28
      4⤵
      Program crash
      PID:1760

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 3156 -ip 3156
1⤵
PID:3692

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 5128 -ip 5128
1⤵
PID:5664

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4088
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - System Location Discovery: System Language Discovery
  PID:3468
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3544

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 5580 -ip 5580
1⤵
PID:4424

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5276
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:716
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4636
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4636 -s 28
      4⤵
      Program crash
      PID:5064

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 3544 -ip 3544
1⤵
PID:1660

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2188
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:5924
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1700

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 4636 -ip 4636
1⤵
PID:4124

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2432
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:4400
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3332
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2556
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 2556 -s 28
      4⤵
      Program crash
      PID:1432

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 392 -p 1700 -ip 1700
1⤵
PID:2032

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2336
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4584
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2068

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 2556 -ip 2556
1⤵
PID:5496

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3608
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:2244
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:532
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2180

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 2068 -ip 2068
1⤵
PID:4632

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1172
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - System Location Discovery: System Language Discovery
  PID:4364
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2500

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 584 -p 2180 -ip 2180
1⤵
PID:832

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4776
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5832
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1892

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 2500 -ip 2500
1⤵
PID:2172

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3836
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:1972
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5380

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4448
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3860
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5484

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 1892 -ip 1892
1⤵
PID:2436

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 5380 -ip 5380
1⤵
PID:640

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5264
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:3364
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:236

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4624
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5584
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3116

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 5484 -ip 5484
1⤵
PID:5696

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 600 -p 236 -ip 236
1⤵
PID:3892

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5632
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:4040
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5660
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3160

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:676
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:132
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2028

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 620 -p 3116 -ip 3116
1⤵
PID:388

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 552 -p 3160 -ip 3160
1⤵
PID:4700

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4064
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3328
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:6064

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 2028 -ip 2028
1⤵
PID:5468

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5608
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:1140
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3088

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 540 -p 6064 -ip 6064
1⤵
PID:5068

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5960
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:4024
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:228

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 3088 -ip 3088
1⤵
PID:2864

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3204
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:856
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3508

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 588 -p 228 -ip 228
1⤵
PID:2476

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5548
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - System Location Discovery: System Language Discovery
  PID:1508
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:6100

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 3508 -ip 3508
1⤵
PID:1168

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2460
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:4864
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:732

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5324
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4840
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:6088

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 6100 -ip 6100
1⤵
PID:5852

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 732 -ip 732
1⤵
PID:5372

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3692
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5864
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2112

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 616 -p 6088 -ip 6088
1⤵
PID:5952

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2168
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:5052
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2096

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 548 -p 2112 -ip 2112
1⤵
PID:5600

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3560
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:1400
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4740

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 2096 -ip 2096
1⤵
PID:3748

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:2716
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:5984
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - System Location Discovery: System Language Discovery
  PID:4996
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:3960

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3468
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:716
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1320

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 556 -p 4740 -ip 4740
1⤵
PID:4512

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 416 -p 3960 -ip 3960
1⤵
PID:4412

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5104
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2560
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5840

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 648 -p 1320 -ip 1320
1⤵
PID:4856

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4580
- C:\Windows\System32\Conhost.exe
  \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
  2⤵
  PID:2188
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:1104
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:2224

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 5840 -ip 5840
1⤵
PID:2372

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3136
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:4224
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5376
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 5376 -s 28
      4⤵
      Program crash
      PID:2796

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 624 -p 2224 -ip 2224
1⤵
PID:5056

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:4584
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:3060
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:6020
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 6020 -s 28
      4⤵
      Program crash
      PID:4736

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 5376 -ip 5376
1⤵
PID:5192

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:1068
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:2004
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5832

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 564 -p 6020 -ip 6020
1⤵
PID:5428

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3620
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - System Location Discovery: System Language Discovery
  PID:4968
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:1552

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 364 -p 5832 -ip 5832
1⤵
PID:1488

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3412
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  PID:452
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:4448
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 4448 -s 28
      4⤵
      Program crash
      PID:3892

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 364 -p 1552 -ip 1552
1⤵
PID:680

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:5036
- C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
  2⤵
  - Adds Run key to start application
  PID:2580
- - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\vbc.exe
    3⤵
    PID:5348

C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe /c C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe
1⤵
PID:3448

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 648 -p 4448 -ip 4448
1⤵
PID:3188

Network

MITRE ATT&CK Enterprise v16

Reconnaissance

Resource Development

Initial Access

Execution

Command and Scripting Interpreter

T1059

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

System Location Discovery

T1614

System Language Discovery

T1614.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Microsoft\CLR_v2.0_32\UsageLogs\ccepic.exe.log

Filesize
411B

MD5
cf7b089cae0e2798b00b702b546980bc

SHA1
157e774a3e1967cc4d7fc578484a0f7e8fec5972

SHA256
fdd90aab400010577d28648f30476ab7572a2a1df124a351c841b5c938147ce3

SHA512
0ddf8a547e87f50cb93c801f425e13cf4a6d72f0544a387000945ac3c96dd0d2c0b6b3ca3b39531594c9e2b5164876c0960b5602a5f080ca306960b0ef20b0ac

Download Submit
C:\Users\Admin\AppData\Roaming\ccepic\ccepic\7.9.1.0\ccepic.exe

Filesize
1.0MB

MD5
c0295404b7677140fb0a140dd0aca4e2

SHA1
d9335d5d88d9c310e1457142c3b6f0a3d0a91819

SHA256
6d481b29bc81dc85cbe5ba4a8b82224d1b3dc0b8dadb012f5f92f4c8e4a14db6

SHA512
38c6f47249622019d129eef71bc38f981532c921044f3e00c440315a1536813efabd3d1adeba10856004b8b0622ec63cec16cfae068bcf306310b967aac0a7c4

Download Submit
memory/2004-1-0x0000000075200000-0x00000000757B1000-memory.dmp

Filesize
5.7MB

Download
memory/2004-2-0x0000000075200000-0x00000000757B1000-memory.dmp

Filesize
5.7MB

Download
memory/2004-0-0x0000000075201000-0x0000000075202000-memory.dmp

Filesize
4KB

Download
memory/2004-14-0x0000000075200000-0x00000000757B1000-memory.dmp

Filesize
5.7MB

Download
memory/4388-18-0x0000000075200000-0x00000000757B1000-memory.dmp

Filesize
5.7MB

Download
memory/4388-21-0x0000000075200000-0x00000000757B1000-memory.dmp

Filesize
5.7MB

Download
memory/4388-19-0x0000000075200000-0x00000000757B1000-memory.dmp

Filesize
5.7MB

Download
memory/5056-103-0x0000000000460000-0x0000000000492000-memory.dmp

Filesize
200KB

Download
memory/5728-9-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/6048-7-0x0000000075200000-0x00000000757B1000-memory.dmp

Filesize
5.7MB

Download
memory/6048-15-0x0000000075200000-0x00000000757B1000-memory.dmp

Filesize
5.7MB

Download
memory/6048-10-0x0000000075200000-0x00000000757B1000-memory.dmp

Filesize
5.7MB

Download
memory/6048-8-0x0000000075200000-0x00000000757B1000-memory.dmp

Filesize
5.7MB

Download

Analysis

Sharing

General

Malware Config

Extracted

Signatures

Processes

Network

MITRE ATT&CK Enterprise v16

Replay Monitor

Loading Replay Monitor...

Downloads