MisterGrand, находим момент запуска процесса WerFault.exe - Windows Error Reporting:
Цитата:
17:47:19,6370302 ZennoPoster.exe 7184 Process Create C:\Windows\system32\WerFault.exe SUCCESS PID: 15364, Command line: C:\Windows\system32\WerFault.exe -u -p 7184 -s 6364
|
и смотрим последние события процесса ZennoPoster.exe перед этим:
Цитата:
17:47:19,4156846 ZennoPoster.exe 7184 RegQueryValue HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU\MRUListEx SUCCESS Type: REG_BINARY, Length: 0
|