Analysis
-
max time kernel
91s -
max time network
47s -
platform
windows7_x64 -
resource
win7-20220812-en -
resource tags
arch:x64arch:x86image:win7-20220812-enlocale:en-usos:windows7-x64system -
submitted
11/10/2022, 02:56
Static task
static1
Behavioral task
behavioral1
Sample
199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe
Resource
win7-20220812-en
Behavioral task
behavioral2
Sample
199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe
Resource
win10v2004-20220812-en
General
-
Target
199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe
-
Size
855KB
-
MD5
63ca3d50b1462bc606984f61ffddf2fd
-
SHA1
1b9c9feadc850c73e3f0124f91577c5c31625a19
-
SHA256
199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
-
SHA512
1781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
SSDEEP
24576:OEk0gaO1ncNx544YCvGSBw7cCmSb5tBmF+Du:OwgaOqx544w7cCmSb5LmF+i
Malware Config
Signatures
-
Modifies WinLogon for persistence 2 TTPs 56 IoCs
description ioc Process Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe,C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe -
Executes dropped EXE 64 IoCs
pid Process 820 winupdate.exe 1712 winupdate.exe 2004 winupdate.exe 1076 winupdate.exe 304 winupdate.exe 1720 winupdate.exe 852 winupdate.exe 1976 winupdate.exe 1060 winupdate.exe 108 winupdate.exe 1520 winupdate.exe 748 winupdate.exe 664 winupdate.exe 1944 winupdate.exe 1992 winupdate.exe 1036 winupdate.exe 1752 winupdate.exe 1056 winupdate.exe 1556 winupdate.exe 268 winupdate.exe 1108 winupdate.exe 1068 winupdate.exe 824 winupdate.exe 1900 winupdate.exe 924 winupdate.exe 2016 winupdate.exe 1480 winupdate.exe 1548 winupdate.exe 1388 winupdate.exe 664 winupdate.exe 1664 winupdate.exe 1520 winupdate.exe 648 winupdate.exe 908 winupdate.exe 1992 winupdate.exe 1948 winupdate.exe 1920 winupdate.exe 1692 winupdate.exe 1920 winupdate.exe 976 winupdate.exe 2052 winupdate.exe 2120 winupdate.exe 2244 winupdate.exe 2284 winupdate.exe 2436 winupdate.exe 2480 winupdate.exe 2624 winupdate.exe 2680 winupdate.exe 2816 winupdate.exe 2876 winupdate.exe 3020 winupdate.exe 3064 winupdate.exe 824 winupdate.exe 2224 winupdate.exe 2416 winupdate.exe 2500 winupdate.exe 2700 winupdate.exe 2628 winupdate.exe 2816 winupdate.exe 1664 winupdate.exe 3020 winupdate.exe 964 winupdate.exe 536 winupdate.exe 2400 winupdate.exe -
Deletes itself 1 IoCs
pid Process 1748 cmd.exe -
Loads dropped DLL 64 IoCs
pid Process 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 820 winupdate.exe 820 winupdate.exe 820 winupdate.exe 820 winupdate.exe 1712 winupdate.exe 1712 winupdate.exe 1712 winupdate.exe 1712 winupdate.exe 2004 winupdate.exe 2004 winupdate.exe 2004 winupdate.exe 2004 winupdate.exe 1076 winupdate.exe 1076 winupdate.exe 1076 winupdate.exe 1076 winupdate.exe 304 winupdate.exe 304 winupdate.exe 304 winupdate.exe 304 winupdate.exe 1720 winupdate.exe 1720 winupdate.exe 1720 winupdate.exe 1720 winupdate.exe 852 winupdate.exe 852 winupdate.exe 852 winupdate.exe 852 winupdate.exe 1976 winupdate.exe 1976 winupdate.exe 1976 winupdate.exe 1976 winupdate.exe 1060 winupdate.exe 1060 winupdate.exe 1060 winupdate.exe 1060 winupdate.exe 108 winupdate.exe 108 winupdate.exe 108 winupdate.exe 108 winupdate.exe 1520 winupdate.exe 1520 winupdate.exe 1520 winupdate.exe 1520 winupdate.exe 748 winupdate.exe 748 winupdate.exe 748 winupdate.exe 748 winupdate.exe 664 winupdate.exe 664 winupdate.exe 664 winupdate.exe 664 winupdate.exe 1944 winupdate.exe 1944 winupdate.exe 1944 winupdate.exe 1944 winupdate.exe 1992 winupdate.exe 1992 winupdate.exe 1992 winupdate.exe 1992 winupdate.exe 1036 winupdate.exe 1036 winupdate.exe 1036 winupdate.exe -
Adds Run key to start application 2 TTPs 56 IoCs
description ioc Process Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe Set value (str) \REGISTRY\USER\S-1-5-21-2292972927-2705560509-2768824231-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\winupdate.exe" winupdate.exe -
Drops file in System32 directory 64 IoCs
description ioc Process File opened for modification C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe File opened for modification C:\Windows\SysWOW64\Windupdt\ winupdate.exe File created C:\Windows\SysWOW64\Windupdt\winupdate.exe winupdate.exe -
Suspicious use of SetThreadContext 56 IoCs
description pid Process procid_target PID 1652 set thread context of 1072 1652 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 27 PID 820 set thread context of 1712 820 winupdate.exe 31 PID 2004 set thread context of 1076 2004 winupdate.exe 37 PID 304 set thread context of 1720 304 winupdate.exe 40 PID 852 set thread context of 1976 852 winupdate.exe 45 PID 1060 set thread context of 108 1060 winupdate.exe 51 PID 1520 set thread context of 748 1520 winupdate.exe 54 PID 664 set thread context of 1944 664 winupdate.exe 61 PID 1992 set thread context of 1036 1992 winupdate.exe 65 PID 1752 set thread context of 1056 1752 winupdate.exe 71 PID 1556 set thread context of 268 1556 winupdate.exe 77 PID 1108 set thread context of 1068 1108 winupdate.exe 81 PID 824 set thread context of 1900 824 winupdate.exe 87 PID 924 set thread context of 2016 924 winupdate.exe 91 PID 1480 set thread context of 1548 1480 winupdate.exe 96 PID 1388 set thread context of 664 1388 winupdate.exe 101 PID 1664 set thread context of 1520 1664 winupdate.exe 106 PID 648 set thread context of 908 648 winupdate.exe 112 PID 1992 set thread context of 1948 1992 winupdate.exe 116 PID 1920 set thread context of 1692 1920 winupdate.exe 122 PID 1920 set thread context of 976 1920 winupdate.exe 127 PID 2052 set thread context of 2120 2052 winupdate.exe 132 PID 2244 set thread context of 2284 2244 winupdate.exe 136 PID 2436 set thread context of 2480 2436 winupdate.exe 141 PID 2624 set thread context of 2680 2624 winupdate.exe 146 PID 2816 set thread context of 2876 2816 winupdate.exe 152 PID 3020 set thread context of 3064 3020 winupdate.exe 156 PID 824 set thread context of 2224 824 winupdate.exe 162 PID 2416 set thread context of 2500 2416 winupdate.exe 166 PID 2700 set thread context of 2628 2700 winupdate.exe 171 PID 2816 set thread context of 1664 2816 winupdate.exe 177 PID 3020 set thread context of 964 3020 winupdate.exe 181 PID 536 set thread context of 2400 536 winupdate.exe 186 PID 2708 set thread context of 2740 2708 winupdate.exe 192 PID 2924 set thread context of 3040 2924 winupdate.exe 196 PID 1580 set thread context of 2308 1580 winupdate.exe 201 PID 2536 set thread context of 2612 2536 winupdate.exe 207 PID 2700 set thread context of 2964 2700 winupdate.exe 211 PID 2380 set thread context of 1480 2380 winupdate.exe 216 PID 2444 set thread context of 2528 2444 winupdate.exe 220 PID 2684 set thread context of 2900 2684 winupdate.exe 226 PID 1488 set thread context of 2144 1488 winupdate.exe 231 PID 2512 set thread context of 2608 2512 winupdate.exe 236 PID 2700 set thread context of 1588 2700 winupdate.exe 242 PID 1580 set thread context of 2568 1580 winupdate.exe 246 PID 2112 set thread context of 2872 2112 winupdate.exe 251 PID 2136 set thread context of 3020 2136 winupdate.exe 255 PID 1228 set thread context of 2436 1228 winupdate.exe 261 PID 1400 set thread context of 2544 1400 winupdate.exe 267 PID 2980 set thread context of 2488 2980 winupdate.exe 271 PID 2700 set thread context of 1480 2700 winupdate.exe 276 PID 2360 set thread context of 2548 2360 winupdate.exe 281 PID 3004 set thread context of 2788 3004 winupdate.exe 287 PID 2508 set thread context of 1456 2508 winupdate.exe 291 PID 2916 set thread context of 1928 2916 winupdate.exe 297 PID 2616 set thread context of 2152 2616 winupdate.exe 302 -
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.
-
Runs ping.exe 1 TTPs 56 IoCs
pid Process 2024 PING.EXE 964 PING.EXE 2228 PING.EXE 2068 PING.EXE 2416 PING.EXE 2268 PING.EXE 2044 PING.EXE 2996 PING.EXE 3000 PING.EXE 1984 PING.EXE 1992 PING.EXE 1588 PING.EXE 1188 PING.EXE 2316 PING.EXE 2880 PING.EXE 2392 PING.EXE 2808 PING.EXE 2096 PING.EXE 2024 PING.EXE 1992 PING.EXE 876 PING.EXE 1984 PING.EXE 2532 PING.EXE 1236 PING.EXE 2520 PING.EXE 1956 PING.EXE 2512 PING.EXE 1920 PING.EXE 2600 PING.EXE 1620 PING.EXE 2864 PING.EXE 2104 PING.EXE 1680 PING.EXE 2276 PING.EXE 824 PING.EXE 2392 PING.EXE 1456 PING.EXE 2536 PING.EXE 1652 PING.EXE 2328 PING.EXE 2672 PING.EXE 2692 PING.EXE 2348 PING.EXE 936 PING.EXE 2056 PING.EXE 1620 PING.EXE 1928 PING.EXE 2800 PING.EXE 2980 PING.EXE 2572 PING.EXE 2340 PING.EXE 1452 PING.EXE 1488 PING.EXE 2488 PING.EXE 2364 PING.EXE 2036 PING.EXE -
Suspicious use of AdjustPrivilegeToken 64 IoCs
description pid Process Token: SeIncreaseQuotaPrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeSecurityPrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeTakeOwnershipPrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeLoadDriverPrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeSystemProfilePrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeSystemtimePrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeProfSingleProcessPrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeIncBasePriorityPrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeCreatePagefilePrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeBackupPrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeRestorePrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeShutdownPrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeDebugPrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeSystemEnvironmentPrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeChangeNotifyPrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeRemoteShutdownPrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeUndockPrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeManageVolumePrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeImpersonatePrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeCreateGlobalPrivilege 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: 33 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: 34 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: 35 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe Token: SeIncreaseQuotaPrivilege 1712 winupdate.exe Token: SeSecurityPrivilege 1712 winupdate.exe Token: SeTakeOwnershipPrivilege 1712 winupdate.exe Token: SeLoadDriverPrivilege 1712 winupdate.exe Token: SeSystemProfilePrivilege 1712 winupdate.exe Token: SeSystemtimePrivilege 1712 winupdate.exe Token: SeProfSingleProcessPrivilege 1712 winupdate.exe Token: SeIncBasePriorityPrivilege 1712 winupdate.exe Token: SeCreatePagefilePrivilege 1712 winupdate.exe Token: SeBackupPrivilege 1712 winupdate.exe Token: SeRestorePrivilege 1712 winupdate.exe Token: SeShutdownPrivilege 1712 winupdate.exe Token: SeDebugPrivilege 1712 winupdate.exe Token: SeSystemEnvironmentPrivilege 1712 winupdate.exe Token: SeChangeNotifyPrivilege 1712 winupdate.exe Token: SeRemoteShutdownPrivilege 1712 winupdate.exe Token: SeUndockPrivilege 1712 winupdate.exe Token: SeManageVolumePrivilege 1712 winupdate.exe Token: SeImpersonatePrivilege 1712 winupdate.exe Token: SeCreateGlobalPrivilege 1712 winupdate.exe Token: 33 1712 winupdate.exe Token: 34 1712 winupdate.exe Token: 35 1712 winupdate.exe Token: SeRestorePrivilege 1712 winupdate.exe Token: SeBackupPrivilege 1712 winupdate.exe Token: SeIncreaseQuotaPrivilege 1076 winupdate.exe Token: SeSecurityPrivilege 1076 winupdate.exe Token: SeTakeOwnershipPrivilege 1076 winupdate.exe Token: SeLoadDriverPrivilege 1076 winupdate.exe Token: SeSystemProfilePrivilege 1076 winupdate.exe Token: SeSystemtimePrivilege 1076 winupdate.exe Token: SeProfSingleProcessPrivilege 1076 winupdate.exe Token: SeIncBasePriorityPrivilege 1076 winupdate.exe Token: SeCreatePagefilePrivilege 1076 winupdate.exe Token: SeBackupPrivilege 1076 winupdate.exe Token: SeRestorePrivilege 1076 winupdate.exe Token: SeShutdownPrivilege 1076 winupdate.exe Token: SeDebugPrivilege 1076 winupdate.exe Token: SeSystemEnvironmentPrivilege 1076 winupdate.exe Token: SeChangeNotifyPrivilege 1076 winupdate.exe Token: SeRemoteShutdownPrivilege 1076 winupdate.exe -
Suspicious use of WriteProcessMemory 64 IoCs
description pid Process procid_target PID 1652 wrote to memory of 1072 1652 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 27 PID 1652 wrote to memory of 1072 1652 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 27 PID 1652 wrote to memory of 1072 1652 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 27 PID 1652 wrote to memory of 1072 1652 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 27 PID 1652 wrote to memory of 1072 1652 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 27 PID 1652 wrote to memory of 1072 1652 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 27 PID 1652 wrote to memory of 1072 1652 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 27 PID 1652 wrote to memory of 1072 1652 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 27 PID 1652 wrote to memory of 1072 1652 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 27 PID 1652 wrote to memory of 1072 1652 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 27 PID 1652 wrote to memory of 1072 1652 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 27 PID 1652 wrote to memory of 1072 1652 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 27 PID 1652 wrote to memory of 1072 1652 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 27 PID 1072 wrote to memory of 820 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 28 PID 1072 wrote to memory of 820 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 28 PID 1072 wrote to memory of 820 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 28 PID 1072 wrote to memory of 820 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 28 PID 1072 wrote to memory of 820 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 28 PID 1072 wrote to memory of 820 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 28 PID 1072 wrote to memory of 820 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 28 PID 1072 wrote to memory of 1748 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 29 PID 1072 wrote to memory of 1748 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 29 PID 1072 wrote to memory of 1748 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 29 PID 1072 wrote to memory of 1748 1072 199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe 29 PID 820 wrote to memory of 1712 820 winupdate.exe 31 PID 820 wrote to memory of 1712 820 winupdate.exe 31 PID 820 wrote to memory of 1712 820 winupdate.exe 31 PID 820 wrote to memory of 1712 820 winupdate.exe 31 PID 820 wrote to memory of 1712 820 winupdate.exe 31 PID 820 wrote to memory of 1712 820 winupdate.exe 31 PID 820 wrote to memory of 1712 820 winupdate.exe 31 PID 820 wrote to memory of 1712 820 winupdate.exe 31 PID 820 wrote to memory of 1712 820 winupdate.exe 31 PID 820 wrote to memory of 1712 820 winupdate.exe 31 PID 820 wrote to memory of 1712 820 winupdate.exe 31 PID 820 wrote to memory of 1712 820 winupdate.exe 31 PID 1748 wrote to memory of 1236 1748 cmd.exe 32 PID 1748 wrote to memory of 1236 1748 cmd.exe 32 PID 1748 wrote to memory of 1236 1748 cmd.exe 32 PID 1748 wrote to memory of 1236 1748 cmd.exe 32 PID 820 wrote to memory of 1712 820 winupdate.exe 31 PID 820 wrote to memory of 1712 820 winupdate.exe 31 PID 820 wrote to memory of 1712 820 winupdate.exe 31 PID 820 wrote to memory of 1712 820 winupdate.exe 31 PID 1712 wrote to memory of 2004 1712 winupdate.exe 33 PID 1712 wrote to memory of 2004 1712 winupdate.exe 33 PID 1712 wrote to memory of 2004 1712 winupdate.exe 33 PID 1712 wrote to memory of 2004 1712 winupdate.exe 33 PID 1712 wrote to memory of 2004 1712 winupdate.exe 33 PID 1712 wrote to memory of 2004 1712 winupdate.exe 33 PID 1712 wrote to memory of 2004 1712 winupdate.exe 33 PID 1712 wrote to memory of 1696 1712 winupdate.exe 34 PID 1712 wrote to memory of 1696 1712 winupdate.exe 34 PID 1712 wrote to memory of 1696 1712 winupdate.exe 34 PID 1712 wrote to memory of 1696 1712 winupdate.exe 34 PID 1712 wrote to memory of 1696 1712 winupdate.exe 34 PID 1712 wrote to memory of 1696 1712 winupdate.exe 34 PID 1712 wrote to memory of 1696 1712 winupdate.exe 34 PID 1696 wrote to memory of 824 1696 cmd.exe 36 PID 1696 wrote to memory of 824 1696 cmd.exe 36 PID 1696 wrote to memory of 824 1696 cmd.exe 36 PID 1696 wrote to memory of 824 1696 cmd.exe 36 PID 1696 wrote to memory of 824 1696 cmd.exe 36 PID 1696 wrote to memory of 824 1696 cmd.exe 36
Processes
-
C:\Users\Admin\AppData\Local\Temp\199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe"C:\Users\Admin\AppData\Local\Temp\199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe"1⤵
- Suspicious use of SetThreadContext
- Suspicious use of WriteProcessMemory
PID:1652 -
C:\Users\Admin\AppData\Local\Temp\199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe"C:\Users\Admin\AppData\Local\Temp\199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe"2⤵
- Modifies WinLogon for persistence
- Loads dropped DLL
- Adds Run key to start application
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:1072 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetThreadContext
- Suspicious use of WriteProcessMemory
PID:820 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"4⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Drops file in System32 directory
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:1712 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"5⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetThreadContext
PID:2004 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"6⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Drops file in System32 directory
- Suspicious use of AdjustPrivilegeToken
PID:1076 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"7⤵PID:1972
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 58⤵
- Runs ping.exe
PID:2044
-
-
-
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"7⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetThreadContext
PID:304 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"8⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Drops file in System32 directory
PID:1720 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"9⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetThreadContext
PID:852 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"10⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Drops file in System32 directory
PID:1976 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"11⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetThreadContext
PID:1060 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"12⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Drops file in System32 directory
PID:108 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"13⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetThreadContext
PID:1520 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"14⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Drops file in System32 directory
PID:748 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"15⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetThreadContext
PID:664 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"16⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
PID:1944 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"17⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetThreadContext
PID:1992 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"18⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Drops file in System32 directory
PID:1036 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"19⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1752 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"20⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:1056 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"21⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1556 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"22⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:268 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"23⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1108 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"24⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:1068 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"25⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:824 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"26⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:1900 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"27⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:924 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"28⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:2016 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"29⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1480 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"30⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:1548 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"31⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1388 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"32⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:664 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"33⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1664 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"34⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:1520 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"35⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:648 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"36⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:908 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"37⤵PID:1320
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 538⤵
- Runs ping.exe
PID:964
-
-
-
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"37⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1992 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"38⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:1948 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"39⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1920 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"40⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:1692 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"41⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1920 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"42⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:976 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"43⤵PID:2060
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 544⤵
- Runs ping.exe
PID:2096
-
-
-
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"43⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2052 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"44⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:2120 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"45⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2244 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"46⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:2284 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"47⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2436 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"48⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:2480 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"49⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2624 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"50⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:2680 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"51⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2816 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"52⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:2876 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"53⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:3020 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"54⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:3064 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"55⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:824 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"56⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:2224 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"57⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2416 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"58⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:2500 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"59⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2700 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"60⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:2628 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"61⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2816 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"62⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:1664 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"63⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:3020 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"64⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:964 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"65⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:536 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"66⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:2400 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"67⤵
- Suspicious use of SetThreadContext
PID:2708 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"68⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:2740 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"69⤵
- Suspicious use of SetThreadContext
PID:2924 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"70⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:3040 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"71⤵
- Suspicious use of SetThreadContext
PID:1580 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"72⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:2308 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"73⤵
- Suspicious use of SetThreadContext
PID:2536 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"74⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:2612 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"75⤵
- Suspicious use of SetThreadContext
PID:2700 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"76⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:2964 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"77⤵
- Suspicious use of SetThreadContext
PID:2380 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"78⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:1480 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"79⤵
- Suspicious use of SetThreadContext
PID:2444 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"80⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:2528 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"81⤵
- Suspicious use of SetThreadContext
PID:2684 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"82⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:2900 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"83⤵
- Suspicious use of SetThreadContext
PID:1488 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"84⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:2144 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"85⤵
- Suspicious use of SetThreadContext
PID:2512 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"86⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:2608 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"87⤵
- Suspicious use of SetThreadContext
PID:2700 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"88⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:1588 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"89⤵
- Suspicious use of SetThreadContext
PID:1580 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"90⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:2568 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"91⤵
- Suspicious use of SetThreadContext
PID:2112 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"92⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:2872 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"93⤵
- Suspicious use of SetThreadContext
PID:2136 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"94⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:3020 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"95⤵
- Suspicious use of SetThreadContext
PID:1228 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"96⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:2436 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"97⤵PID:2124
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 598⤵
- Runs ping.exe
PID:2348
-
-
-
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"97⤵
- Suspicious use of SetThreadContext
PID:1400 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"98⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:2544 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"99⤵
- Suspicious use of SetThreadContext
PID:2980 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"100⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:2488 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"101⤵
- Suspicious use of SetThreadContext
PID:2700 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"102⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:1480 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"103⤵
- Suspicious use of SetThreadContext
PID:2360 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"104⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:2548 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"105⤵
- Suspicious use of SetThreadContext
PID:3004 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"106⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:2788 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"107⤵
- Suspicious use of SetThreadContext
PID:2508 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"108⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:1456 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"109⤵
- Suspicious use of SetThreadContext
PID:2916 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"110⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:1928 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"111⤵PID:2752
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 5112⤵
- Runs ping.exe
PID:2268
-
-
-
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"111⤵
- Suspicious use of SetThreadContext
PID:2616 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\SysWOW64\Windupdt\winupdate.exe"112⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:2152 -
C:\Windows\SysWOW64\Windupdt\winupdate.exe"C:\Windows\system32\Windupdt\winupdate.exe"113⤵PID:1732
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"113⤵PID:2464
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 5114⤵
- Runs ping.exe
PID:2808
-
-
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"109⤵PID:2488
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 5110⤵
- Runs ping.exe
PID:2392
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"107⤵PID:2712
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 5108⤵
- Runs ping.exe
PID:2340
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"105⤵PID:2072
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 5106⤵
- Runs ping.exe
PID:2364
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"103⤵PID:1228
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 5104⤵
- Runs ping.exe
PID:1984
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"101⤵PID:2324
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 5102⤵
- Runs ping.exe
PID:2536
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"99⤵PID:2840
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 5100⤵
- Runs ping.exe
PID:2024
-
-
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"95⤵PID:2728
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 596⤵
- Runs ping.exe
PID:2880
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"93⤵PID:2996
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 594⤵
- Runs ping.exe
PID:2416
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"91⤵PID:2860
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 592⤵
- Runs ping.exe
PID:3000
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"89⤵PID:1188
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 590⤵
- Runs ping.exe
PID:2572
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"87⤵PID:2216
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 588⤵
- Runs ping.exe
PID:1456
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"85⤵PID:2620
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 586⤵
- Runs ping.exe
PID:2532
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"83⤵PID:2208
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 584⤵
- Runs ping.exe
PID:2316
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"81⤵PID:2784
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 582⤵
- Runs ping.exe
PID:2068
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"79⤵PID:2412
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 580⤵
- Runs ping.exe
PID:2600
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"77⤵PID:2924
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 578⤵
- Runs ping.exe
PID:2104
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"75⤵PID:2128
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 576⤵
- Runs ping.exe
PID:1984
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"73⤵PID:2560
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 574⤵
- Runs ping.exe
PID:2392
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"71⤵PID:1552
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 572⤵
- Runs ping.exe
PID:2276
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"69⤵PID:2624
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 570⤵
- Runs ping.exe
PID:2996
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"67⤵PID:2688
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 568⤵
- Runs ping.exe
PID:2692
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"65⤵PID:1472
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 566⤵
- Runs ping.exe
PID:2488
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"63⤵PID:2172
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 564⤵
- Runs ping.exe
PID:2056
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"61⤵PID:1208
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 562⤵
- Runs ping.exe
PID:2980
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"59⤵PID:2716
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 560⤵
- Runs ping.exe
PID:2800
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"57⤵PID:2404
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 558⤵
- Runs ping.exe
PID:2520
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"55⤵PID:2196
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 556⤵
- Runs ping.exe
PID:2228
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"53⤵PID:3032
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 554⤵
- Runs ping.exe
PID:1920
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"51⤵PID:2828
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 552⤵
- Runs ping.exe
PID:2864
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"49⤵PID:2636
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 550⤵
- Runs ping.exe
PID:2672
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"47⤵PID:2448
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 548⤵
- Runs ping.exe
PID:2512
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"45⤵PID:2256
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 546⤵
- Runs ping.exe
PID:2328
-
-
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"41⤵PID:1348
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 542⤵
- Runs ping.exe
PID:1620
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"39⤵PID:1556
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 540⤵
- Runs ping.exe
PID:1992
-
-
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"35⤵PID:316
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 536⤵
- Runs ping.exe
PID:1188
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"33⤵PID:936
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 534⤵
- Runs ping.exe
PID:2024
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"31⤵PID:1952
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 532⤵
- Runs ping.exe
PID:1928
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"29⤵PID:2004
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 530⤵
- Runs ping.exe
PID:1620
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"27⤵PID:1424
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 528⤵
- Runs ping.exe
PID:1588
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"25⤵PID:1768
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 526⤵
- Runs ping.exe
PID:1992
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"23⤵PID:432
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 524⤵
- Runs ping.exe
PID:1680
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"21⤵PID:1828
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 522⤵
- Runs ping.exe
PID:1652
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"19⤵PID:2040
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 520⤵
- Runs ping.exe
PID:1488
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"17⤵PID:764
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 518⤵
- Runs ping.exe
PID:1452
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"15⤵PID:1408
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 516⤵
- Runs ping.exe
PID:2036
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"13⤵PID:1428
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 514⤵
- Runs ping.exe
PID:876
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"11⤵PID:384
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 512⤵
- Runs ping.exe
PID:936
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"9⤵PID:820
-
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 510⤵
- Runs ping.exe
PID:1956
-
-
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\Windupdt\winupdate.exe"5⤵
- Suspicious use of WriteProcessMemory
PID:1696 -
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 56⤵
- Runs ping.exe
PID:824
-
-
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Users\Admin\AppData\Local\Temp\199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a.exe"3⤵
- Deletes itself
- Suspicious use of WriteProcessMemory
PID:1748 -
C:\Windows\SysWOW64\PING.EXEping 127.0.0.1 -n 54⤵
- Runs ping.exe
PID:1236
-
-
-
Network
MITRE ATT&CK Enterprise v6
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e
-
Filesize
855KB
MD563ca3d50b1462bc606984f61ffddf2fd
SHA11b9c9feadc850c73e3f0124f91577c5c31625a19
SHA256199533bcd751d398fbb6e385cdce41cb02fcff9f06d620bd0acb5704c440f58a
SHA5121781d7fabcc1f1f06ab81578db880194dcb7a902becbde8878e662753c57f165824a6bb596d4c543f5d26690a24a45f3521e34b5f6b3c67ae796220a208aa67e