darkcomet | e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

Analysis

max time kernel
135s
max time network
154s
platform
windows10-2004_x64
resource
win10v2004-20220901-en
resource tags

arch:x64arch:x86image:win10v2004-20220901-enlocale:en-usos:windows10-2004-x64system
submitted
06/12/2022, 16:46

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Size

700KB
MD5

bdf17ff679149c3b8149bb9a7f5b882c
SHA1

1778fc7682d99c896da7e27328901a64763df2a3
SHA256

e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c
SHA512

19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2
SSDEEP

12288:vbKlFwfZCvqTtABYhuQF0bFtNU9jPldHNnJ9Is7rG5C37TZHXxFnrxO+uNUqx:vb4wfZdTts8uQeuJR8d5uTrZA/x

Score

10^/10

darkcomet evasion persistence rat trojan

Malware Config

Signatures

Darkcomet
DarkComet is a remote access trojan (RAT) developed by Jean-Pierre Lesueur.
trojan rat darkcomet

Modifies WinLogon for persistence 2 TTPs 64 IoCs

persistence

Winlogon Helper DLL

T1004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe,C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe

Executes dropped EXE 64 IoCs

pid	Process
4876	wnlogon.exe
2260	wnlogon.exe
116	wnlogon.exe
4464	wnlogon.exe
1392	wnlogon.exe
4948	wnlogon.exe
4684	wnlogon.exe
3152	wnlogon.exe
1784	wnlogon.exe
2188	wnlogon.exe
628	wnlogon.exe
5072	wnlogon.exe
1704	wnlogon.exe
2224	wnlogon.exe
2408	wnlogon.exe
3596	wnlogon.exe
4652	wnlogon.exe
5100	wnlogon.exe
5116	wnlogon.exe
4044	wnlogon.exe
1504	wnlogon.exe
1468	wnlogon.exe
5216	wnlogon.exe
5324	wnlogon.exe
5544	wnlogon.exe
5652	wnlogon.exe
5832	wnlogon.exe
5932	wnlogon.exe
6108	wnlogon.exe
2044	wnlogon.exe
5516	wnlogon.exe
5560	wnlogon.exe
5304	wnlogon.exe
5952	wnlogon.exe
2044	wnlogon.exe
5300	wnlogon.exe
4928	wnlogon.exe
6072	wnlogon.exe
2496	wnlogon.exe
3580	wnlogon.exe
6200	wnlogon.exe
6300	wnlogon.exe
6484	wnlogon.exe
6584	wnlogon.exe
6764	wnlogon.exe
6860	wnlogon.exe
7036	wnlogon.exe
7132	wnlogon.exe
1524	wnlogon.exe
6348	wnlogon.exe
6636	wnlogon.exe
6284	wnlogon.exe
6564	wnlogon.exe
6532	wnlogon.exe
6636	wnlogon.exe
7052	wnlogon.exe
6336	wnlogon.exe
6900	wnlogon.exe
5060	wnlogon.exe
660	wnlogon.exe
808	wnlogon.exe
7228	wnlogon.exe
7404	wnlogon.exe
7500	wnlogon.exe

Sets file to hidden 1 TTPs 64 IoCs

Modifies file attributes to stop it showing in Explorer etc.

evasion

Hidden Files and Directories

T1158

pid	Process
5228	attrib.exe
6200	attrib.exe
8224	attrib.exe
8484	attrib.exe
5648	attrib.exe
3688	attrib.exe
2276	attrib.exe
9836	attrib.exe
5940	attrib.exe
1900	attrib.exe
6440	attrib.exe
8096	attrib.exe
8296	attrib.exe
6800	attrib.exe
10548	attrib.exe
4876	attrib.exe
7912	attrib.exe
8016	attrib.exe
10116	attrib.exe
4560	attrib.exe
4004	attrib.exe
7640	attrib.exe
11076	attrib.exe
10328	attrib.exe
5520	attrib.exe
4508	attrib.exe
6424	attrib.exe
7748	attrib.exe
3324	attrib.exe
6468	attrib.exe
6748	attrib.exe
7908	attrib.exe
4636	attrib.exe
5904	attrib.exe
4248	attrib.exe
1992	attrib.exe
5816	attrib.exe
5308	attrib.exe
6728	attrib.exe
6620	attrib.exe
7224	attrib.exe
9108	attrib.exe
8516	attrib.exe
9560	attrib.exe
6700	attrib.exe
6956	attrib.exe
4480	attrib.exe
6072	attrib.exe
732	attrib.exe
7024	attrib.exe
5188	attrib.exe
8748	attrib.exe
7660	attrib.exe
9108	attrib.exe
1060	attrib.exe
1424	attrib.exe
7032	attrib.exe
9052	attrib.exe
10548	attrib.exe
10828	attrib.exe
1604	attrib.exe
6120	attrib.exe
7936	attrib.exe
4908	attrib.exe

Checks computer location settings 2 TTPs 64 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\Control Panel\International\Geo\Nation	wnlogon.exe

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1060

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-929662420-1054238289-2961194603-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "C:\\Windows\\system32\\etc\\wnlogon.exe"	wnlogon.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc	attrib.exe
File created	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File created	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc	attrib.exe
File created	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File created	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	cmd.exe
File opened for modification	C:\Windows\SysWOW64\etc\	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	attrib.exe
File created	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc\	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	cmd.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc\	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc\	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	PING.EXE
File created	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc\	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	attrib.exe
File created	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File created	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc	attrib.exe
File opened for modification	C:\Windows\SysWOW64\etc\wnlogon.exe	wnlogon.exe
File opened for modification	C:\Windows\SysWOW64\etc	attrib.exe

Suspicious use of SetThreadContext 64 IoCs

description	pid	Process	procid_target
PID 2204 set thread context of 1628	2204	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	82
PID 4876 set thread context of 2260	4876	wnlogon.exe	93
PID 116 set thread context of 4464	116	wnlogon.exe	104
PID 1392 set thread context of 4948	1392	wnlogon.exe	115
PID 4684 set thread context of 3152	4684	wnlogon.exe	126
PID 1784 set thread context of 2188	1784	wnlogon.exe	139
PID 628 set thread context of 5072	628	wnlogon.exe	151
PID 1704 set thread context of 2224	1704	wnlogon.exe	162
PID 2408 set thread context of 3596	2408	wnlogon.exe	174
PID 4652 set thread context of 5100	4652	wnlogon.exe	186
PID 5116 set thread context of 4044	5116	wnlogon.exe	198
PID 1504 set thread context of 1468	1504	cmd.exe	209
PID 5216 set thread context of 5324	5216	wnlogon.exe	220
PID 5544 set thread context of 5652	5544	wnlogon.exe	231
PID 5832 set thread context of 5932	5832	wnlogon.exe	242
PID 6108 set thread context of 2044	6108	wnlogon.exe	253
PID 5516 set thread context of 5560	5516	wnlogon.exe	265
PID 5304 set thread context of 5952	5304	wnlogon.exe	276
PID 2044 set thread context of 5300	2044	wnlogon.exe	287
PID 4928 set thread context of 6072	4928	wnlogon.exe	298
PID 2496 set thread context of 3580	2496	wnlogon.exe	309
PID 6200 set thread context of 6300	6200	wnlogon.exe	320
PID 6484 set thread context of 6584	6484	wnlogon.exe	331
PID 6764 set thread context of 6860	6764	wnlogon.exe	342
PID 7036 set thread context of 7132	7036	wnlogon.exe	353
PID 1524 set thread context of 6348	1524	wnlogon.exe	364
PID 6636 set thread context of 6284	6636	wnlogon.exe	375
PID 6564 set thread context of 6532	6564	wnlogon.exe	386
PID 6636 set thread context of 7052	6636	wnlogon.exe	397
PID 6336 set thread context of 6900	6336	wnlogon.exe	408
PID 5060 set thread context of 660	5060	wnlogon.exe	419
PID 808 set thread context of 7228	808	wnlogon.exe	430
PID 7404 set thread context of 7500	7404	wnlogon.exe	441
PID 7680 set thread context of 7776	7680	wnlogon.exe	452
PID 7952 set thread context of 8048	7952	wnlogon.exe	463
PID 6200 set thread context of 7376	6200	wnlogon.exe	474
PID 6296 set thread context of 7800	6296	wnlogon.exe	485
PID 7960 set thread context of 2372	7960	wnlogon.exe	496
PID 4700 set thread context of 3196	4700	wnlogon.exe	507
PID 7480 set thread context of 2832	7480	wnlogon.exe	518
PID 5260 set thread context of 4056	5260	wnlogon.exe	529
PID 8076 set thread context of 4700	8076	wnlogon.exe	540
PID 8084 set thread context of 7760	8084	wnlogon.exe	551
PID 8248 set thread context of 8344	8248	wnlogon.exe	562
PID 8524 set thread context of 8624	8524	wnlogon.exe	573
PID 8796 set thread context of 8896	8796	wnlogon.exe	584
PID 9072 set thread context of 9168	9072	wnlogon.exe	595
PID 2572 set thread context of 4608	2572	wnlogon.exe	606
PID 8768 set thread context of 8672	8768	wnlogon.exe	617
PID 8928 set thread context of 8236	8928	wnlogon.exe	628
PID 1712 set thread context of 8880	1712	wnlogon.exe	639
PID 9160 set thread context of 8916	9160	wnlogon.exe	650
PID 6572 set thread context of 6956	6572	wnlogon.exe	661
PID 5472 set thread context of 8692	5472	wnlogon.exe	672
PID 3908 set thread context of 8644	3908	wnlogon.exe	683
PID 4216 set thread context of 4656	4216	wnlogon.exe	694
PID 2012 set thread context of 5696	2012	wnlogon.exe	705
PID 7216 set thread context of 5704	7216	wnlogon.exe	716
PID 9308 set thread context of 9404	9308	wnlogon.exe	727
PID 9576 set thread context of 9672	9576	wnlogon.exe	738
PID 9856 set thread context of 9952	9856	wnlogon.exe	749
PID 10132 set thread context of 10228	10132	wnlogon.exe	760
PID 9312 set thread context of 9444	9312	wnlogon.exe	771
PID 5708 set thread context of 4540	5708	wnlogon.exe	782

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.

System Information Discovery
T1082

Modifies registry class 64 IoCs

description	ioc	Process
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	wnlogon.exe

Runs ping.exe 1 TTPs 64 IoCs

Remote System Discovery

T1018

pid	Process
9144	PING.EXE
6288	PING.EXE
5628	PING.EXE
8024	PING.EXE
2832	PING.EXE
9648	PING.EXE
7516	PING.EXE
10916	PING.EXE
1688	PING.EXE
6560	PING.EXE
7784	PING.EXE
7752	PING.EXE
2500	PING.EXE
7476	PING.EXE
9180	PING.EXE
4540	PING.EXE
8468	PING.EXE
7600	PING.EXE
6340	PING.EXE
6296	PING.EXE
10692	PING.EXE
10384	PING.EXE
8596	PING.EXE
8872	PING.EXE
8848	PING.EXE
2008	PING.EXE
8292	PING.EXE
9928	PING.EXE
5908	PING.EXE
3632	PING.EXE
10644	PING.EXE
11248	PING.EXE
9936	PING.EXE
224	PING.EXE
5920	PING.EXE
7204	PING.EXE
224	PING.EXE
9380	PING.EXE
10220	PING.EXE
2928	PING.EXE
3580	PING.EXE
5960	PING.EXE
6472	PING.EXE
11192	PING.EXE
2264	PING.EXE
8320	PING.EXE
2832	PING.EXE
7732	PING.EXE
10204	PING.EXE
8604	PING.EXE
9720	PING.EXE
4392	PING.EXE
4460	PING.EXE
2948	PING.EXE
7728	PING.EXE
8092	PING.EXE
5296	PING.EXE
7108	PING.EXE
7244	PING.EXE
10396	PING.EXE
640	PING.EXE
1452	PING.EXE
6276	PING.EXE
5800	PING.EXE

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeIncreaseQuotaPrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeSecurityPrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeTakeOwnershipPrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeLoadDriverPrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeSystemProfilePrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeSystemtimePrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeProfSingleProcessPrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeIncBasePriorityPrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeCreatePagefilePrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeBackupPrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeRestorePrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeShutdownPrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeDebugPrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeSystemEnvironmentPrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeChangeNotifyPrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeRemoteShutdownPrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeUndockPrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeManageVolumePrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeImpersonatePrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeCreateGlobalPrivilege	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: 33	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: 34	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: 35	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: 36	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
Token: SeIncreaseQuotaPrivilege	2260	wnlogon.exe
Token: SeSecurityPrivilege	2260	wnlogon.exe
Token: SeTakeOwnershipPrivilege	2260	wnlogon.exe
Token: SeLoadDriverPrivilege	2260	wnlogon.exe
Token: SeSystemProfilePrivilege	2260	wnlogon.exe
Token: SeSystemtimePrivilege	2260	wnlogon.exe
Token: SeProfSingleProcessPrivilege	2260	wnlogon.exe
Token: SeIncBasePriorityPrivilege	2260	wnlogon.exe
Token: SeCreatePagefilePrivilege	2260	wnlogon.exe
Token: SeBackupPrivilege	2260	wnlogon.exe
Token: SeRestorePrivilege	2260	wnlogon.exe
Token: SeShutdownPrivilege	2260	wnlogon.exe
Token: SeDebugPrivilege	2260	wnlogon.exe
Token: SeSystemEnvironmentPrivilege	2260	wnlogon.exe
Token: SeChangeNotifyPrivilege	2260	wnlogon.exe
Token: SeRemoteShutdownPrivilege	2260	wnlogon.exe
Token: SeUndockPrivilege	2260	wnlogon.exe
Token: SeManageVolumePrivilege	2260	wnlogon.exe
Token: SeImpersonatePrivilege	2260	wnlogon.exe
Token: SeCreateGlobalPrivilege	2260	wnlogon.exe
Token: 33	2260	wnlogon.exe
Token: 34	2260	wnlogon.exe
Token: 35	2260	wnlogon.exe
Token: 36	2260	wnlogon.exe
Token: SeIncreaseQuotaPrivilege	4464	wnlogon.exe
Token: SeSecurityPrivilege	4464	wnlogon.exe
Token: SeTakeOwnershipPrivilege	4464	wnlogon.exe
Token: SeLoadDriverPrivilege	4464	wnlogon.exe
Token: SeSystemProfilePrivilege	4464	wnlogon.exe
Token: SeSystemtimePrivilege	4464	wnlogon.exe
Token: SeProfSingleProcessPrivilege	4464	wnlogon.exe
Token: SeIncBasePriorityPrivilege	4464	wnlogon.exe
Token: SeCreatePagefilePrivilege	4464	wnlogon.exe
Token: SeBackupPrivilege	4464	wnlogon.exe
Token: SeRestorePrivilege	4464	wnlogon.exe
Token: SeShutdownPrivilege	4464	wnlogon.exe
Token: SeDebugPrivilege	4464	wnlogon.exe
Token: SeSystemEnvironmentPrivilege	4464	wnlogon.exe
Token: SeChangeNotifyPrivilege	4464	wnlogon.exe
Token: SeRemoteShutdownPrivilege	4464	wnlogon.exe

Suspicious use of SetWindowsHookEx 64 IoCs

pid	Process
2204	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
4876	wnlogon.exe
116	wnlogon.exe
1392	wnlogon.exe
4684	wnlogon.exe
1784	wnlogon.exe
628	wnlogon.exe
1704	wnlogon.exe
2408	wnlogon.exe
4652	wnlogon.exe
5116	wnlogon.exe
1504	wnlogon.exe
5216	wnlogon.exe
5544	wnlogon.exe
5832	wnlogon.exe
6108	wnlogon.exe
5516	wnlogon.exe
5304	wnlogon.exe
2044	wnlogon.exe
4928	wnlogon.exe
2496	wnlogon.exe
6200	wnlogon.exe
6484	wnlogon.exe
6764	wnlogon.exe
7036	wnlogon.exe
1524	wnlogon.exe
6636	wnlogon.exe
6564	wnlogon.exe
6636	wnlogon.exe
6336	wnlogon.exe
5060	wnlogon.exe
808	wnlogon.exe
7404	wnlogon.exe
7680	wnlogon.exe
7952	wnlogon.exe
6200	wnlogon.exe
6296	wnlogon.exe
7960	wnlogon.exe
4700	wnlogon.exe
7480	wnlogon.exe
5260	wnlogon.exe
8076	wnlogon.exe
8084	wnlogon.exe
8248	wnlogon.exe
8524	wnlogon.exe
8796	wnlogon.exe
9072	wnlogon.exe
2572	wnlogon.exe
8768	wnlogon.exe
8928	wnlogon.exe
1712	wnlogon.exe
9160	wnlogon.exe
6572	wnlogon.exe
5472	wnlogon.exe
3908	wnlogon.exe
4216	wnlogon.exe
2012	wnlogon.exe
7216	wnlogon.exe
9308	wnlogon.exe
9576	wnlogon.exe
9856	wnlogon.exe
10132	wnlogon.exe
9312	wnlogon.exe
5708	wnlogon.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2204 wrote to memory of 1628	2204	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	82
PID 2204 wrote to memory of 1628	2204	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	82
PID 2204 wrote to memory of 1628	2204	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	82
PID 2204 wrote to memory of 1628	2204	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	82
PID 2204 wrote to memory of 1628	2204	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	82
PID 2204 wrote to memory of 1628	2204	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	82
PID 2204 wrote to memory of 1628	2204	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	82
PID 2204 wrote to memory of 1628	2204	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	82
PID 2204 wrote to memory of 1628	2204	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	82
PID 2204 wrote to memory of 1628	2204	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	82
PID 2204 wrote to memory of 1628	2204	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	82
PID 2204 wrote to memory of 1628	2204	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	82
PID 2204 wrote to memory of 1628	2204	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	82
PID 2204 wrote to memory of 1628	2204	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	82
PID 1628 wrote to memory of 4796	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	86
PID 1628 wrote to memory of 4796	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	86
PID 1628 wrote to memory of 4796	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	86
PID 1628 wrote to memory of 4896	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	84
PID 1628 wrote to memory of 4896	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	84
PID 1628 wrote to memory of 4896	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	84
PID 4896 wrote to memory of 2500	4896	cmd.exe	88
PID 4896 wrote to memory of 2500	4896	cmd.exe	88
PID 4896 wrote to memory of 2500	4896	cmd.exe	88
PID 4796 wrote to memory of 4584	4796	cmd.exe	87
PID 4796 wrote to memory of 4584	4796	cmd.exe	87
PID 4796 wrote to memory of 4584	4796	cmd.exe	87
PID 1628 wrote to memory of 4876	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	89
PID 1628 wrote to memory of 4876	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	89
PID 1628 wrote to memory of 4876	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	89
PID 1628 wrote to memory of 1388	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	90
PID 1628 wrote to memory of 1388	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	90
PID 1628 wrote to memory of 1388	1628	e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe	90
PID 1388 wrote to memory of 2928	1388	cmd.exe	92
PID 1388 wrote to memory of 2928	1388	cmd.exe	92
PID 1388 wrote to memory of 2928	1388	cmd.exe	92
PID 4876 wrote to memory of 2260	4876	wnlogon.exe	93
PID 4876 wrote to memory of 2260	4876	wnlogon.exe	93
PID 4876 wrote to memory of 2260	4876	wnlogon.exe	93
PID 4876 wrote to memory of 2260	4876	wnlogon.exe	93
PID 4876 wrote to memory of 2260	4876	wnlogon.exe	93
PID 4876 wrote to memory of 2260	4876	wnlogon.exe	93
PID 4876 wrote to memory of 2260	4876	wnlogon.exe	93
PID 4876 wrote to memory of 2260	4876	wnlogon.exe	93
PID 4876 wrote to memory of 2260	4876	wnlogon.exe	93
PID 4876 wrote to memory of 2260	4876	wnlogon.exe	93
PID 4876 wrote to memory of 2260	4876	wnlogon.exe	93
PID 4876 wrote to memory of 2260	4876	wnlogon.exe	93
PID 4876 wrote to memory of 2260	4876	wnlogon.exe	93
PID 4876 wrote to memory of 2260	4876	wnlogon.exe	93
PID 2260 wrote to memory of 4036	2260	wnlogon.exe	96
PID 2260 wrote to memory of 4036	2260	wnlogon.exe	96
PID 2260 wrote to memory of 4036	2260	wnlogon.exe	96
PID 2260 wrote to memory of 4048	2260	wnlogon.exe	95
PID 2260 wrote to memory of 4048	2260	wnlogon.exe	95
PID 2260 wrote to memory of 4048	2260	wnlogon.exe	95
PID 4036 wrote to memory of 856	4036	cmd.exe	98
PID 4036 wrote to memory of 856	4036	cmd.exe	98
PID 4036 wrote to memory of 856	4036	cmd.exe	98
PID 4048 wrote to memory of 256	4048	cmd.exe	99
PID 4048 wrote to memory of 256	4048	cmd.exe	99
PID 4048 wrote to memory of 256	4048	cmd.exe	99
PID 2260 wrote to memory of 116	2260	wnlogon.exe	102
PID 2260 wrote to memory of 116	2260	wnlogon.exe	102
PID 2260 wrote to memory of 116	2260	wnlogon.exe	102

Views/modifies file attributes 1 TTPs 64 IoCs

evasion

Hidden Files and Directories

T1158

pid	Process
7640	attrib.exe
9848	attrib.exe
7032	attrib.exe
7660	attrib.exe
7640	attrib.exe
9560	attrib.exe
1424	attrib.exe
5308	attrib.exe
2276	attrib.exe
3692	attrib.exe
1152	attrib.exe
3688	attrib.exe
7912	attrib.exe
4700	attrib.exe
6956	attrib.exe
2176	attrib.exe
8516	attrib.exe
9836	attrib.exe
1604	attrib.exe
5164	attrib.exe
6092	attrib.exe
6180	attrib.exe
4508	attrib.exe
5904	attrib.exe
11076	attrib.exe
9812	attrib.exe
10116	attrib.exe
4248	attrib.exe
4340	attrib.exe
4684	attrib.exe
7024	attrib.exe
8072	attrib.exe
8748	attrib.exe
10216	attrib.exe
7048	attrib.exe
3096	attrib.exe
4560	attrib.exe
4584	attrib.exe
4028	attrib.exe
7000	attrib.exe
2652	attrib.exe
10432	attrib.exe
732	attrib.exe
8224	attrib.exe
9052	attrib.exe
4500	attrib.exe
7076	attrib.exe
10828	attrib.exe
6200	attrib.exe
8204	attrib.exe
1472	attrib.exe
10540	attrib.exe
10808	attrib.exe
10712	attrib.exe
8844	attrib.exe
10280	attrib.exe
3324	attrib.exe
2496	attrib.exe
6120	attrib.exe
9108	attrib.exe
1484	attrib.exe
7048	attrib.exe
10548	attrib.exe
1476	attrib.exe

C:\Users\Admin\AppData\Local\Temp\e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
"C:\Users\Admin\AppData\Local\Temp\e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe"
1⤵
- Suspicious use of SetThreadContext
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2204
- C:\Users\Admin\AppData\Local\Temp\e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe
  "C:\Users\Admin\AppData\Local\Temp\e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe"
  2⤵
  - Modifies WinLogon for persistence
  - Checks computer location settings
  - Adds Run key to start application
  - Modifies registry class
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:1628
- - C:\Windows\SysWOW64\cmd.exe
    "C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:4896
  - - C:\Windows\SysWOW64\attrib.exe
      attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
      4⤵
      PID:2500
- - C:\Windows\SysWOW64\cmd.exe
    "C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp\e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe" +s +h
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:4796
  - - C:\Windows\SysWOW64\attrib.exe
      attrib "C:\Users\Admin\AppData\Local\Temp\e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe" +s +h
      4⤵
      Views/modifies file attributes
      PID:4584
- - C:\Windows\SysWOW64\etc\wnlogon.exe
    "C:\Windows\system32\etc\wnlogon.exe"
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetThreadContext
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:4876
  - - C:\Windows\SysWOW64\etc\wnlogon.exe
      "C:\Windows\SysWOW64\etc\wnlogon.exe"
      4⤵
      Modifies WinLogon for persistence
      Executes dropped EXE
      Modifies registry class
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:2260
    - - C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        5⤵
        Suspicious use of WriteProcessMemory
        
        PID:4048
      - C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        6⤵
        
        PID:256
    - - C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        5⤵
        Suspicious use of WriteProcessMemory
        
        PID:4036
      - C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        6⤵
        Drops file in System32 directory
        
        PID:856
    - - C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        5⤵
        
        PID:2168
      - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        6⤵
        Runs ping.exe
        
        PID:2264
    - - C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        5⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:116
      - C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        6⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        Suspicious use of AdjustPrivilegeToken
        
        PID:4464
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        7⤵
        
        PID:4612
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        8⤵
        
        PID:2488
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        7⤵
        
        PID:2024
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        7⤵
        
        PID:1736
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        8⤵
        Runs ping.exe
        
        PID:640
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        7⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:1392
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        8⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:4948
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        9⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        10⤵
        Views/modifies file attributes
        
        PID:4340
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        9⤵
        
        PID:804
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        10⤵
        Views/modifies file attributes
        
        PID:1476
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        9⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:4684
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        10⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Modifies registry class
        
        PID:3152
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        11⤵
        
        PID:384
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        12⤵
        Sets file to hidden
        
        PID:1992
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        11⤵
        
        PID:3876
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        12⤵
        
        PID:4940
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        11⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:1784
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        12⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:2188
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        13⤵
        
        PID:3284
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        14⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:1604
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        13⤵
        
        PID:3248
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        14⤵
        Sets file to hidden
        
        PID:4480
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        13⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:628
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        14⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Modifies registry class
        
        PID:5072
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        15⤵
        
        PID:4564
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        16⤵
        
        PID:4264
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        15⤵
        
        PID:2544
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        16⤵
        
        PID:1688
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        15⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:1704
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        16⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2224
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        17⤵
        
        PID:1236
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        18⤵
        
        PID:1444
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        17⤵
        
        PID:2492
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        18⤵
        Views/modifies file attributes
        
        PID:1152
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        17⤵
        
        PID:1008
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        18⤵
        Runs ping.exe
        
        PID:2948
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        17⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:2408
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        18⤵
        Executes dropped EXE
        Checks computer location settings
        
        PID:3596
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        19⤵
        
        PID:4780
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        20⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:1424
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        19⤵
        
        PID:3684
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        20⤵
        Sets file to hidden
        
        PID:1900
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        19⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:4652
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        20⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        
        PID:5100
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        21⤵
        Drops file in System32 directory
        
        PID:1444
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        22⤵
        Sets file to hidden
        
        PID:4876
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        21⤵
        
        PID:4696
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        22⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:3324
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        21⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:5116
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        22⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        
        PID:4044
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        23⤵
        
        PID:2368
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        24⤵
        Views/modifies file attributes
        
        PID:4028
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        23⤵
        Drops file in System32 directory
        
        PID:4876
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        24⤵
        
        PID:2020
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        23⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1504
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        24⤵
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:1468
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        25⤵
        Suspicious use of SetThreadContext
        
        PID:1504
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        26⤵
        Views/modifies file attributes
        
        PID:5164
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        25⤵
        
        PID:4264
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        26⤵
        
        PID:5188
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        25⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:5216
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        26⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:5324
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        27⤵
        
        PID:5384
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        28⤵
        Sets file to hidden
        
        PID:5520
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        27⤵
        
        PID:5412
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        28⤵
        
        PID:5512
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        27⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:5544
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        28⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:5652
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        29⤵
        
        PID:5712
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        30⤵
        
        PID:5792
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        29⤵
        
        PID:5740
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        30⤵
        Sets file to hidden
        
        PID:5816
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        29⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:5832
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        30⤵
        Executes dropped EXE
        Checks computer location settings
        Drops file in System32 directory
        Modifies registry class
        
        PID:5932
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        31⤵
        
        PID:5992
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        32⤵
        Sets file to hidden
        
        PID:6072
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        31⤵
        
        PID:6020
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        32⤵
        Views/modifies file attributes
        
        PID:6092
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        31⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:6108
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        32⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2044
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        33⤵
        
        PID:4872
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        34⤵
        Sets file to hidden
        Drops file in System32 directory
        
        PID:5228
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        33⤵
        
        PID:4040
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        34⤵
        
        PID:5396
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        33⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:5516
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        34⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:5560
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        35⤵
        
        PID:5792
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        36⤵
        Sets file to hidden
        
        PID:5940
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        35⤵
        
        PID:5688
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        36⤵
        Sets file to hidden
        
        PID:5308
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        35⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:5304
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        36⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:5952
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        37⤵
        
        PID:5636
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        38⤵
        Views/modifies file attributes
        
        PID:4684
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        37⤵
        
        PID:5444
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        38⤵
        Views/modifies file attributes
        
        PID:2496
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        37⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:2044
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        38⤵
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        
        PID:5300
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        39⤵
        
        PID:5172
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        40⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:732
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        39⤵
        
        PID:5520
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        40⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:6120
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        39⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:4928
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        40⤵
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:6072
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        41⤵
        
        PID:5224
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        42⤵
        Drops file in System32 directory
        
        PID:4376
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        41⤵
        
        PID:5808
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        42⤵
        
        PID:3632
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        41⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:2496
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        42⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:3580
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        43⤵
        
        PID:4928
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        44⤵
        
        PID:6160
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        43⤵
        
        PID:4388
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        44⤵
        Views/modifies file attributes
        
        PID:6180
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        43⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:6200
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        44⤵
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        
        PID:6300
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        45⤵
        
        PID:6360
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        46⤵
        Sets file to hidden
        
        PID:6440
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        45⤵
        
        PID:6388
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        46⤵
        Sets file to hidden
        
        PID:6468
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        45⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:6484
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        46⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        
        PID:6584
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        47⤵
        
        PID:6644
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        48⤵
        Sets file to hidden
        Drops file in System32 directory
        
        PID:6728
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        47⤵
        
        PID:6672
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        48⤵
        Sets file to hidden
        
        PID:6748
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        47⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:6764
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        48⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:6860
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        49⤵
        
        PID:6916
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        50⤵
        Views/modifies file attributes
        
        PID:7000
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        49⤵
        
        PID:6944
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        50⤵
        
        PID:7020
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        49⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:7036
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        50⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Modifies registry class
        
        PID:7132
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        51⤵
        
        PID:6188
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        52⤵
        Sets file to hidden
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:4508
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        51⤵
        
        PID:6208
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        52⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:6200
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        51⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:1524
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        52⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:6348
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        53⤵
        
        PID:6484
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        54⤵
        
        PID:2128
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        53⤵
        
        PID:6656
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        54⤵
        Sets file to hidden
        
        PID:6620
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        53⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:6636
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        54⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Modifies registry class
        
        PID:6284
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        55⤵
        
        PID:6864
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        56⤵
        Sets file to hidden
        
        PID:4004
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        55⤵
        
        PID:6888
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        56⤵
        
        PID:2832
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        55⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:6564
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        56⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        
        PID:6532
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        57⤵
        
        PID:6848
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        58⤵
        
        PID:3276
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        57⤵
        
        PID:6768
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        58⤵
        Sets file to hidden
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:7032
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        57⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:6636
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        58⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:7052
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        59⤵
        
        PID:4932
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        60⤵
        
        PID:6616
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        59⤵
        
        PID:6568
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        60⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:3688
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        59⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:6336
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        60⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Modifies registry class
        
        PID:6900
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        61⤵
        
        PID:540
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        62⤵
        Sets file to hidden
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:7024
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        61⤵
        
        PID:6280
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        62⤵
        
        PID:5056
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        61⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:5060
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        62⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:660
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        63⤵
        
        PID:6636
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        64⤵
        
        PID:5180
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        63⤵
        
        PID:6336
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        64⤵
        
        PID:7068
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        63⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:808
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        64⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:7228
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        65⤵
        
        PID:7284
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        66⤵
        
        PID:7364
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        65⤵
        
        PID:7304
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        66⤵
        
        PID:7388
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        65⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:7404
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        66⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Checks computer location settings
        Modifies registry class
        
        PID:7500
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        67⤵
        
        PID:7556
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        68⤵
        Sets file to hidden
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:7640
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        67⤵
        
        PID:7576
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        68⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:7660
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        67⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:7680
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        68⤵
        Checks computer location settings
        Modifies registry class
        
        PID:7776
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        69⤵
        
        PID:7836
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        70⤵
        Sets file to hidden
        
        PID:7908
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        69⤵
        
        PID:7864
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        70⤵
        Sets file to hidden
        
        PID:7936
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        69⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:7952
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        70⤵
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:8048
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        71⤵
        
        PID:8104
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        72⤵
        
        PID:8148
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        71⤵
        
        PID:8164
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        72⤵
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:5308
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        71⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:6200
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        72⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:7376
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        73⤵
        
        PID:7272
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        74⤵
        Views/modifies file attributes
        
        PID:7640
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        73⤵
        
        PID:5620
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        74⤵
        
        PID:7024
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        73⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:6296
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        74⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:7800
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        75⤵
        
        PID:7820
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        76⤵
        Sets file to hidden
        
        PID:7224
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        75⤵
        
        PID:7808
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        76⤵
        Sets file to hidden
        
        PID:5188
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        75⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:7960
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        76⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:2372
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        77⤵
        
        PID:868
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        78⤵
        Drops file in System32 directory
        
        PID:7772
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        77⤵
        
        PID:7400
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        78⤵
        
        PID:7668
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        77⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:4700
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        78⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:3196
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        79⤵
        
        PID:8044
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        80⤵
        
        PID:5056
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        79⤵
        
        PID:1460
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        80⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:7912
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        79⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:7480
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        80⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Drops file in System32 directory
        Modifies registry class
        
        PID:2832
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        81⤵
        
        PID:8068
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        82⤵
        Views/modifies file attributes
        
        PID:4700
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        81⤵
        
        PID:6004
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        82⤵
        Views/modifies file attributes
        
        PID:8072
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        81⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:5260
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        82⤵
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:4056
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        83⤵
        
        PID:4952
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        84⤵
        
        PID:224
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        83⤵
        
        PID:7264
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        84⤵
        Sets file to hidden
        
        PID:8096
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        83⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:8076
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        84⤵
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:4700
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        85⤵
        
        PID:7392
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        86⤵
        Sets file to hidden
        
        PID:6424
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        85⤵
        
        PID:6176
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        86⤵
        
        PID:6464
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        85⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:8084
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        86⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:7760
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        87⤵
        
        PID:4300
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        88⤵
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:8204
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        87⤵
        
        PID:6272
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        88⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:8224
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        87⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:8248
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        88⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:8344
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        89⤵
        
        PID:8400
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        90⤵
        Sets file to hidden
        
        PID:8484
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        89⤵
        
        PID:8428
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        90⤵
        Drops file in System32 directory
        
        PID:8504
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        89⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:8524
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        90⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:8624
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        91⤵
        
        PID:8680
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        92⤵
        Sets file to hidden
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:8748
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        91⤵
        
        PID:8708
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        92⤵
        
        PID:8780
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        91⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:8796
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        92⤵
        Modifies WinLogon for persistence
        Modifies registry class
        
        PID:8896
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        93⤵
        
        PID:8952
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        94⤵
        
        PID:9044
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        93⤵
        
        PID:8972
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        94⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:9052
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        93⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:9072
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        94⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:9168
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        95⤵
        
        PID:8204
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        96⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:5904
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        95⤵
        
        PID:8028
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        96⤵
        Drops file in System32 directory
        
        PID:1060
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        95⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:2572
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        96⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:4608
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        97⤵
        
        PID:7784
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        98⤵
        
        PID:6328
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        97⤵
        
        PID:8564
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        98⤵
        Sets file to hidden
        Drops file in System32 directory
        
        PID:4248
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        97⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:8768
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        98⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:8672
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        99⤵
        
        PID:6804
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        100⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:6956
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        99⤵
        
        PID:9056
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        100⤵
        Sets file to hidden
        
        PID:9108
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        99⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:8928
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        100⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:8236
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        101⤵
        
        PID:8596
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        102⤵
        Sets file to hidden
        
        PID:4908
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        101⤵
        
        PID:9200
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        102⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:8516
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        101⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:1712
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        102⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:8880
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        103⤵
        
        PID:8508
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        104⤵
        Sets file to hidden
        Drops file in System32 directory
        
        PID:4636
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        103⤵
        
        PID:1900
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        104⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:9108
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        103⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:9160
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        104⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:8916
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        105⤵
        
        PID:788
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        106⤵
        Sets file to hidden
        
        PID:1060
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        105⤵
        
        PID:8488
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        106⤵
        
        PID:8608
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        105⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:6572
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        106⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:6956
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        107⤵
        
        PID:4812
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        108⤵
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:1472
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        107⤵
        
        PID:4680
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        108⤵
        Drops file in System32 directory
        
        PID:5452
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        107⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:5472
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        108⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:8692
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        109⤵
        
        PID:6880
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        110⤵
        Sets file to hidden
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:2276
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        109⤵
        
        PID:6572
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        110⤵
        Drops file in System32 directory
        
        PID:5764
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        109⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:3908
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        110⤵
        Adds Run key to start application
        Modifies registry class
        
        PID:8644
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        111⤵
        
        PID:5296
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        112⤵
        Sets file to hidden
        
        PID:8016
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        111⤵
        
        PID:4176
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        112⤵
        Sets file to hidden
        
        PID:8296
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        111⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:4216
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        112⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Modifies registry class
        
        PID:4656
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        113⤵
        
        PID:5340
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        114⤵
        
        PID:1484
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        113⤵
        
        PID:2780
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        114⤵
        Sets file to hidden
        
        PID:5648
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        113⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:2012
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        114⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        
        PID:5696
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        115⤵
        
        PID:3908
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        116⤵
        Views/modifies file attributes
        
        PID:2176
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        115⤵
        
        PID:1688
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        116⤵
        
        PID:8004
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        115⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:7216
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        116⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:5704
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        117⤵
        
        PID:8876
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        118⤵
        
        PID:9268
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        117⤵
        
        PID:7756
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        118⤵
        
        PID:9288
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        117⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:9308
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        118⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:9404
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        119⤵
        
        PID:9460
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        120⤵
        
        PID:9540
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        119⤵
        
        PID:9488
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        120⤵
        Sets file to hidden
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:9560
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        119⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:9576
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        120⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:9672
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        121⤵
        
        PID:9728
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        122⤵
        Views/modifies file attributes
        
        PID:9812
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        121⤵
        
        PID:9760
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        122⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:9836
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        121⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:9856
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        122⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:9952
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        123⤵
        
        PID:10008
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        124⤵
        
        PID:10092
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        123⤵
        
        PID:10040
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        124⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:10116
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        123⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:10132
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        124⤵
        Checks computer location settings
        Modifies registry class
        
        PID:10228
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        125⤵
        
        PID:8924
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        126⤵
        Views/modifies file attributes
        
        PID:1484
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        125⤵
        
        PID:7232
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        126⤵
        Views/modifies file attributes
        
        PID:4500
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        125⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:9312
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        126⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:9444
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        127⤵
        
        PID:9624
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        128⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:4560
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        127⤵
        
        PID:5960
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        128⤵
        Drops file in System32 directory
        
        PID:9840
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        127⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:5708
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        128⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:4540
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        129⤵
        
        PID:6240
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        130⤵
        
        PID:10148
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        129⤵
        
        PID:10092
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        130⤵
        
        PID:9968
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        129⤵
        
        PID:9996
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        130⤵
        Checks computer location settings
        Modifies registry class
        
        PID:456
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        131⤵
        
        PID:9316
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        132⤵
        
        PID:9436
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        131⤵
        
        PID:9296
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        132⤵
        Sets file to hidden
        Drops file in System32 directory
        
        PID:6700
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        131⤵
        
        PID:5556
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        132⤵
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:9888
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        133⤵
        
        PID:6968
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        134⤵
        Views/modifies file attributes
        
        PID:7076
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        133⤵
        
        PID:5884
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        134⤵
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:10216
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        133⤵
        
        PID:10212
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        134⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:4500
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        135⤵
        
        PID:9436
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        136⤵
        Views/modifies file attributes
        
        PID:9848
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        135⤵
        
        PID:7668
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        136⤵
        Sets file to hidden
        
        PID:6800
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        135⤵
        
        PID:9668
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        136⤵
        Drops file in System32 directory
        Modifies registry class
        
        PID:10224
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        137⤵
        
        PID:9724
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        138⤵
        Views/modifies file attributes
        
        PID:7048
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        137⤵
        
        PID:9608
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        138⤵
        
        PID:9976
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        137⤵
        
        PID:9192
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        138⤵
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:9420
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        139⤵
        
        PID:3740
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        140⤵
        Views/modifies file attributes
        
        PID:7048
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        139⤵
        
        PID:8412
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        140⤵
        
        PID:9996
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        139⤵
        
        PID:1112
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        140⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:8844
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        141⤵
        
        PID:1556
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        142⤵
        
        PID:9452
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        141⤵
        
        PID:7036
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        142⤵
        Views/modifies file attributes
        
        PID:3096
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        141⤵
        
        PID:9456
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        142⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Modifies registry class
        
        PID:8316
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        143⤵
        
        PID:10000
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        144⤵
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:8844
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        143⤵
        
        PID:7108
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        144⤵
        Views/modifies file attributes
        
        PID:3692
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        143⤵
        
        PID:6332
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        144⤵
        Adds Run key to start application
        Modifies registry class
        
        PID:4528
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        145⤵
        
        PID:7152
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        146⤵
        
        PID:10260
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        145⤵
        
        PID:6352
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        146⤵
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:10280
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        145⤵
        
        PID:10296
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        146⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:10392
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        147⤵
        
        PID:10448
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        148⤵
        Sets file to hidden
        
        PID:10548
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        147⤵
        
        PID:10476
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        148⤵
        Views/modifies file attributes
        
        PID:10540
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        147⤵
        
        PID:10572
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        148⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        
        PID:10668
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        149⤵
        
        PID:10728
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        150⤵
        Views/modifies file attributes
        
        PID:10808
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        149⤵
        
        PID:10764
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        150⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:10828
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        149⤵
        
        PID:10844
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        150⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        
        PID:10940
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        151⤵
        
        PID:10996
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        152⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:11076
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        151⤵
        
        PID:11024
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        152⤵
        
        PID:11096
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        151⤵
        
        PID:11116
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        152⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Modifies registry class
        
        PID:11216
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        153⤵
        
        PID:10264
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        154⤵
        
        PID:7472
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        153⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        154⤵
        Sets file to hidden
        
        PID:10328
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        153⤵
        
        PID:1632
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        154⤵
        Checks computer location settings
        Drops file in System32 directory
        Modifies registry class
        
        PID:10304
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        155⤵
        
        PID:624
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        156⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:10548
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        155⤵
        
        PID:1280
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        156⤵
        Views/modifies file attributes
        
        PID:10432
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        155⤵
        
        PID:10412
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        156⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:1284
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        157⤵
        
        PID:4392
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        158⤵
        Views/modifies file attributes
        
        PID:10712
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        157⤵
        
        PID:10836
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        158⤵
        Sets file to hidden
        
        PID:7748
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        157⤵
        
        PID:8140
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        158⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:11100
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        159⤵
        
        PID:11172
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        160⤵
        
        PID:7404
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        159⤵
        
        PID:8208
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        160⤵
        Views/modifies file attributes
        
        PID:2652
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        159⤵
        
        PID:10664
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        160⤵
        Modifies WinLogon for persistence
        Modifies registry class
        
        PID:11260
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        161⤵
        
        PID:7816
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        162⤵
        Drops file in System32 directory
        
        PID:10916
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        161⤵
        
        PID:2872
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        162⤵
        
        PID:2940
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        161⤵
        
        PID:3244
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        162⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:10872
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        163⤵
        
        PID:11212
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        164⤵
        
        PID:9372
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        163⤵
        
        PID:10844
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        164⤵
        
        PID:10948
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        163⤵
        
        PID:7224
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\SysWOW64\etc\wnlogon.exe"
        164⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:9108
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        165⤵
        
        PID:11232
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
        166⤵
        
        PID:10572
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\etc" +s +h
        165⤵
        
        PID:5832
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\etc" +s +h
        166⤵
        
        PID:4496
        
        C:\Windows\SysWOW64\etc\wnlogon.exe
        
        "C:\Windows\system32\etc\wnlogon.exe"
        165⤵
        
        PID:5916
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        165⤵
        
        PID:7484
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        166⤵
        Runs ping.exe
        
        PID:8092
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        163⤵
        
        PID:9556
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        164⤵
        Runs ping.exe
        
        PID:7600
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        161⤵
        
        PID:1668
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        162⤵
        Runs ping.exe
        
        PID:10396
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        159⤵
        
        PID:8628
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        160⤵
        Runs ping.exe
        
        PID:11248
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        157⤵
        
        PID:10848
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        158⤵
        Runs ping.exe
        
        PID:10384
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        155⤵
        
        PID:10436
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        156⤵
        Runs ping.exe
        
        PID:10692
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        153⤵
        
        PID:10348
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        154⤵
        
        PID:7600
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        151⤵
        
        PID:11140
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        152⤵
        Runs ping.exe
        
        PID:11192
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        149⤵
        
        PID:10860
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        150⤵
        Runs ping.exe
        
        PID:10916
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        147⤵
        
        PID:10592
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        148⤵
        Runs ping.exe
        
        PID:10644
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        145⤵
        
        PID:10316
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        146⤵
        
        PID:10368
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        143⤵
        
        PID:8768
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        144⤵
        Runs ping.exe
        
        PID:4392
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        141⤵
        
        PID:6556
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        142⤵
        Runs ping.exe
        
        PID:6288
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        139⤵
        
        PID:3860
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        140⤵
        Runs ping.exe
        
        PID:10220
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        137⤵
        
        PID:6112
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        138⤵
        Runs ping.exe
        
        PID:224
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        135⤵
        
        PID:5988
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        136⤵
        Runs ping.exe
        
        PID:8468
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        133⤵
        
        PID:9856
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        134⤵
        Runs ping.exe
        
        PID:4540
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        131⤵
        
        PID:4660
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        132⤵
        Runs ping.exe
        
        PID:9936
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        129⤵
        
        PID:6384
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        130⤵
        Runs ping.exe
        
        PID:7516
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        127⤵
        
        PID:9852
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        128⤵
        Runs ping.exe
        
        PID:9720
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        125⤵
        
        PID:7908
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        126⤵
        Runs ping.exe
        
        PID:8604
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        123⤵
        
        PID:10152
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        124⤵
        Runs ping.exe
        
        PID:10204
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        121⤵
        
        PID:9872
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        122⤵
        Runs ping.exe
        
        PID:9928
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        119⤵
        
        PID:9596
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        120⤵
        Runs ping.exe
        
        PID:9648
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        117⤵
        
        PID:9328
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        118⤵
        Runs ping.exe
        
        PID:9380
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        115⤵
        
        PID:6096
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        116⤵
        Runs ping.exe
        
        PID:7732
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        113⤵
        
        PID:8656
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        114⤵
        
        PID:8608
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        111⤵
        
        PID:8504
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        112⤵
        Runs ping.exe
        
        PID:8292
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        109⤵
        
        PID:8892
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        110⤵
        
        PID:5884
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        107⤵
        
        PID:9152
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        108⤵
        
        PID:9192
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        105⤵
        
        PID:1456
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        106⤵
        
        PID:2780
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        103⤵
        
        PID:8900
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        104⤵
        
        PID:664
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        101⤵
        
        PID:2264
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        102⤵
        Runs ping.exe
        
        PID:2008
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        99⤵
        
        PID:8944
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        100⤵
        Runs ping.exe
        
        PID:9180
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        97⤵
        
        PID:8780
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        98⤵
        Runs ping.exe
        
        PID:8848
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        95⤵
        
        PID:3620
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        96⤵
        Runs ping.exe
        
        PID:2500
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        93⤵
        
        PID:9092
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        94⤵
        Runs ping.exe
        
        PID:9144
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        91⤵
        
        PID:8820
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        92⤵
        Runs ping.exe
        
        PID:8872
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        89⤵
        
        PID:8544
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        90⤵
        Runs ping.exe
        
        PID:8596
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        87⤵
        
        PID:8268
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        88⤵
        Runs ping.exe
        
        PID:8320
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        85⤵
        
        PID:7640
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        86⤵
        
        PID:5492
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        83⤵
        
        PID:744
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        84⤵
        Runs ping.exe
        
        PID:7784
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        81⤵
        
        PID:7788
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        82⤵
        Runs ping.exe
        
        PID:5800
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        79⤵
        
        PID:3172
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        80⤵
        
        PID:4972
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        77⤵
        
        PID:5888
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        78⤵
        Runs ping.exe
        
        PID:7244
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        75⤵
        
        PID:8160
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        76⤵
        Runs ping.exe
        
        PID:224
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        73⤵
        
        PID:7540
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        74⤵
        Runs ping.exe
        
        PID:7728
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        71⤵
        
        PID:6576
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        72⤵
        Runs ping.exe
        
        PID:2832
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        69⤵
        
        PID:7968
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        70⤵
        Runs ping.exe
        
        PID:8024
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        67⤵
        
        PID:7696
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        68⤵
        Runs ping.exe
        
        PID:7752
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        65⤵
        
        PID:7424
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        66⤵
        Runs ping.exe
        
        PID:7476
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        63⤵
        
        PID:916
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        64⤵
        Runs ping.exe
        
        PID:7204
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        61⤵
        
        PID:5912
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        62⤵
        Runs ping.exe
        
        PID:6296
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        59⤵
        
        PID:6608
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        60⤵
        Runs ping.exe
        
        PID:2832
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        57⤵
        
        PID:2648
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        58⤵
        
        PID:6896
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        55⤵
        
        PID:6560
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        56⤵
        Runs ping.exe
        
        PID:6472
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        53⤵
        
        PID:6812
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        54⤵
        
        PID:7004
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        51⤵
        
        PID:5920
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        52⤵
        Runs ping.exe
        
        PID:6340
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        49⤵
        
        PID:7056
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        50⤵
        Runs ping.exe
        
        PID:7108
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        47⤵
        
        PID:6784
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        48⤵
        
        PID:6836
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        45⤵
        
        PID:6504
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        46⤵
        Runs ping.exe
        
        PID:6560
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        43⤵
        
        PID:6220
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        44⤵
        Runs ping.exe
        
        PID:6276
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        41⤵
        
        PID:5984
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        42⤵
        Runs ping.exe
        
        PID:3632
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        39⤵
        
        PID:5576
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        40⤵
        Runs ping.exe
        
        PID:5920
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        37⤵
        
        PID:5512
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        38⤵
        
        PID:5816
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        35⤵
        
        PID:6040
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        36⤵
        Runs ping.exe
        
        PID:5960
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        33⤵
        
        PID:5400
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        34⤵
        Runs ping.exe
        
        PID:3580
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        31⤵
        
        PID:6128
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        32⤵
        
        PID:4716
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        29⤵
        
        PID:5852
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        30⤵
        Runs ping.exe
        
        PID:5908
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        27⤵
        
        PID:5564
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        28⤵
        Runs ping.exe
        
        PID:5628
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        25⤵
        
        PID:5236
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        26⤵
        Runs ping.exe
        
        PID:5296
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        23⤵
        
        PID:3792
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        24⤵
        
        PID:3944
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        21⤵
        
        PID:4964
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        22⤵
        Runs ping.exe
        
        PID:1688
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        19⤵
        
        PID:4628
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        20⤵
        Drops file in System32 directory
        
        PID:4264
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        15⤵
        
        PID:2560
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        16⤵
        
        PID:4724
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        13⤵
        
        PID:1180
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        14⤵
        Runs ping.exe
        
        PID:4460
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        11⤵
        
        PID:3204
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        12⤵
        Runs ping.exe
        
        PID:1452
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Windows\SysWOW64\etc\wnlogon.exe"
        9⤵
        
        PID:3840
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        10⤵
        
        PID:544
- - C:\Windows\SysWOW64\cmd.exe
    "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5 > NUL&del "C:\Users\Admin\AppData\Local\Temp\e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c.exe"
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:1388
  - - C:\Windows\SysWOW64\PING.EXE
      ping 127.0.0.1 -n 5
      4⤵
      Runs ping.exe
      PID:2928

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\etc\wnlogon.exe" +s +h
1⤵
- Drops file in System32 directory
- Views/modifies file attributes
PID:4248

Network

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Persistence

Hidden Files and Directories

T1158

Registry Run Keys / Startup Folder

T1060

Winlogon Helper DLL

T1004

Privilege Escalation

Defense Evasion

Hidden Files and Directories

T1158

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

Remote System Discovery

T1018

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
C:\Windows\SysWOW64\etc\wnlogon.exe

Filesize
700KB

MD5
bdf17ff679149c3b8149bb9a7f5b882c

SHA1
1778fc7682d99c896da7e27328901a64763df2a3

SHA256
e9cb5421c2efcd767017b35b8c5e50f279f467c4c7bde0b6a24a9d6d4465648c

SHA512
19d27751fe0e35891173eef586247f67de15b75b0a659e52609dc31c0e0e760f4ad5f3242ca867d1760bb42f3ef9911c1bc1289e412c7e491986a9d8208797a2

Download Submit
memory/660-448-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/660-446-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/1468-301-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/1468-297-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/1628-136-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/1628-148-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/1628-138-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/1628-135-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/1628-137-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/2044-332-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/2044-334-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/2188-231-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/2188-224-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/2224-266-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/2224-258-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/2260-165-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/2260-156-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/2260-155-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/2372-495-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/3152-215-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/3580-376-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/3580-379-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/3596-274-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/4044-293-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/4044-289-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/4044-288-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/4464-181-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/4948-199-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/4948-188-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/4948-191-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5072-248-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5072-241-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5100-282-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5100-280-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5300-361-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5300-358-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5324-305-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5324-306-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5324-309-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5560-343-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5560-340-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5652-318-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5652-315-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5652-314-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5932-323-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5932-327-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5952-348-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5952-349-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/5952-353-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/6072-369-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/6072-367-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/6284-419-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/6284-420-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/6300-387-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/6348-414-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/6532-427-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/6584-393-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/6584-396-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/6860-402-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/6900-442-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/6900-439-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/7052-435-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/7052-432-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/7132-409-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/7132-406-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/7228-455-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/7376-483-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/7376-480-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/7500-461-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/7500-459-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/7776-466-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/7776-469-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/7800-487-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/7800-490-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/8048-473-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download
memory/8048-474-0x0000000000400000-0x00000000004B3000-memory.dmp

Filesize
716KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v6

Replay Monitor

Loading Replay Monitor...

Downloads