Analysis
-
max time kernel
146s -
max time network
125s -
platform
windows7_x64 -
resource
win7-20240221-en -
resource tags
arch:x64arch:x86image:win7-20240221-enlocale:en-usos:windows7-x64system -
submitted
23/02/2024, 23:16
Static task
static1
Behavioral task
behavioral1
Sample
a09880e53ebc8c020376de61d7a21efc.exe
Resource
win7-20240221-en
General
-
Target
a09880e53ebc8c020376de61d7a21efc.exe
-
Size
277KB
-
MD5
a09880e53ebc8c020376de61d7a21efc
-
SHA1
02405fae61c1f50e16f95a954eb8d1e972a05aad
-
SHA256
74168ffe0ac7ae5e91e3cffd8d1d0fbc096aae558812aee4af0b283867e8646a
-
SHA512
5fb3b360d1c424a12ff4a7abeb32303508a89f1108a81a8a96a170aacd18310e868d3a1e558ef5b61e491c98e8cb317929d5e699c41840a1db06f27cb4a7f697
-
SSDEEP
6144:kcOmqI0l3DKSRau154KtPNaHbjTDGiy56d6i4oMmA:FOmWl5L15tNQbrGL5TBoMB
Malware Config
Extracted
darkcomet
Bac
microsoft2011.servehttp.com:48445
RTS0KDT
-
InstallPath
System32\svchost.exe
-
gencode
32tD5p6h4x3R
-
install
true
-
offline_keylogger
true
-
password
picaso951753852
-
persistence
true
-
reg_key
svchost
Extracted
darkcomet
- gencode
-
install
false
-
offline_keylogger
false
-
persistence
false
Signatures
-
Modifies WinLogon for persistence 2 TTPs 55 IoCs
description ioc Process Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe" a09880e53ebc8c020376de61d7a21efc.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe -
Sets file to hidden 1 TTPs 64 IoCs
Modifies file attributes to stop it showing in Explorer etc.
pid Process 948 attrib.exe 3588 attrib.exe 3632 attrib.exe 4044 attrib.exe 1628 attrib.exe 1528 attrib.exe 2560 attrib.exe 2024 attrib.exe 1124 attrib.exe 1704 attrib.exe 4060 attrib.exe 3324 attrib.exe 3736 attrib.exe 1596 attrib.exe 3448 attrib.exe 2616 attrib.exe 2028 attrib.exe 2128 attrib.exe 3468 attrib.exe 3908 attrib.exe 3980 attrib.exe 2356 attrib.exe 2976 attrib.exe 1496 attrib.exe 1496 attrib.exe 760 attrib.exe 1172 attrib.exe 2956 attrib.exe 1112 attrib.exe 2616 attrib.exe 2376 attrib.exe 2392 attrib.exe 1984 attrib.exe 2340 attrib.exe 1948 attrib.exe 1892 attrib.exe 4072 attrib.exe 948 attrib.exe 2020 attrib.exe 2552 attrib.exe 3920 attrib.exe 1476 attrib.exe 3296 attrib.exe 3980 attrib.exe 1464 attrib.exe 588 attrib.exe 3812 attrib.exe 940 attrib.exe 988 attrib.exe 3792 attrib.exe 2420 attrib.exe 1504 attrib.exe 3284 attrib.exe 3380 attrib.exe 2252 attrib.exe 548 attrib.exe 268 attrib.exe 2028 attrib.exe 1464 attrib.exe 4084 attrib.exe 364 attrib.exe 2128 attrib.exe 2380 attrib.exe 3560 attrib.exe -
Executes dropped EXE 64 IoCs
pid Process 2488 svchost.exe 2360 svchost.exe 1688 svchost.exe 1968 svchost.exe 2216 svchost.exe 2276 svchost.exe 1264 svchost.exe 1556 svchost.exe 2128 svchost.exe 2752 svchost.exe 2316 svchost.exe 3008 svchost.exe 2040 svchost.exe 2232 svchost.exe 1776 svchost.exe 2208 svchost.exe 2888 svchost.exe 1940 svchost.exe 2876 svchost.exe 1020 svchost.exe 940 svchost.exe 2336 svchost.exe 2604 svchost.exe 1488 svchost.exe 2780 svchost.exe 3016 svchost.exe 696 svchost.exe 1188 svchost.exe 1576 svchost.exe 1752 svchost.exe 1624 svchost.exe 1896 svchost.exe 1604 svchost.exe 1152 svchost.exe 696 svchost.exe 2000 svchost.exe 2532 svchost.exe 2564 svchost.exe 1960 svchost.exe 1712 svchost.exe 2988 svchost.exe 2420 svchost.exe 1716 svchost.exe 2364 svchost.exe 1796 svchost.exe 2196 svchost.exe 2376 svchost.exe 2520 svchost.exe 1532 svchost.exe 1836 svchost.exe 2296 svchost.exe 2320 svchost.exe 1972 svchost.exe 1264 svchost.exe 1464 svchost.exe 2584 svchost.exe 2356 svchost.exe 1892 svchost.exe 1336 svchost.exe 364 svchost.exe 1464 svchost.exe 2984 svchost.exe 1596 svchost.exe 2896 svchost.exe -
Loads dropped DLL 64 IoCs
pid Process 3036 a09880e53ebc8c020376de61d7a21efc.exe 2488 svchost.exe 2488 svchost.exe 2488 svchost.exe 2488 svchost.exe 2360 svchost.exe 2360 svchost.exe 2360 svchost.exe 2360 svchost.exe 1688 svchost.exe 1688 svchost.exe 1688 svchost.exe 1688 svchost.exe 1968 svchost.exe 1968 svchost.exe 1968 svchost.exe 1968 svchost.exe 2216 svchost.exe 2216 svchost.exe 2216 svchost.exe 2216 svchost.exe 2276 svchost.exe 2276 svchost.exe 2276 svchost.exe 2276 svchost.exe 1264 svchost.exe 1264 svchost.exe 1264 svchost.exe 1264 svchost.exe 1556 svchost.exe 1556 svchost.exe 1556 svchost.exe 1556 svchost.exe 2128 svchost.exe 2128 svchost.exe 2128 svchost.exe 2128 svchost.exe 2752 svchost.exe 2752 svchost.exe 2752 svchost.exe 2752 svchost.exe 2316 svchost.exe 2316 svchost.exe 2316 svchost.exe 2316 svchost.exe 3008 svchost.exe 3008 svchost.exe 3008 svchost.exe 3008 svchost.exe 2040 svchost.exe 2040 svchost.exe 2040 svchost.exe 2040 svchost.exe 2232 svchost.exe 2232 svchost.exe 2232 svchost.exe 2232 svchost.exe 1776 svchost.exe 1776 svchost.exe 1776 svchost.exe 1776 svchost.exe 2208 svchost.exe 2208 svchost.exe 2208 svchost.exe -
Adds Run key to start application 2 TTPs 55 IoCs
description ioc Process Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" a09880e53ebc8c020376de61d7a21efc.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe -
Drops file in System32 directory 64 IoCs
description ioc Process File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File opened for modification C:\Windows\SysWOW64\System32 conhost.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe -
Suspicious use of SetThreadContext 55 IoCs
description pid Process procid_target PID 2692 set thread context of 3036 2692 a09880e53ebc8c020376de61d7a21efc.exe 28 PID 2488 set thread context of 2360 2488 svchost.exe 36 PID 1688 set thread context of 1968 1688 svchost.exe 44 PID 2216 set thread context of 2276 2216 svchost.exe 52 PID 1264 set thread context of 1556 1264 svchost.exe 60 PID 2128 set thread context of 2752 2128 svchost.exe 68 PID 2316 set thread context of 3008 2316 svchost.exe 76 PID 2040 set thread context of 2232 2040 svchost.exe 84 PID 1776 set thread context of 2208 1776 svchost.exe 92 PID 2888 set thread context of 1940 2888 svchost.exe 100 PID 2876 set thread context of 1020 2876 svchost.exe 108 PID 940 set thread context of 2336 940 svchost.exe 116 PID 2604 set thread context of 1488 2604 svchost.exe 126 PID 2780 set thread context of 3016 2780 svchost.exe 134 PID 696 set thread context of 1188 696 svchost.exe 142 PID 1576 set thread context of 1752 1576 svchost.exe 150 PID 1624 set thread context of 1896 1624 svchost.exe 158 PID 1604 set thread context of 1152 1604 svchost.exe 166 PID 696 set thread context of 2000 696 svchost.exe 174 PID 2532 set thread context of 2564 2532 svchost.exe 182 PID 1960 set thread context of 1712 1960 svchost.exe 190 PID 2988 set thread context of 2420 2988 svchost.exe 198 PID 1716 set thread context of 2364 1716 svchost.exe 206 PID 1796 set thread context of 2196 1796 svchost.exe 214 PID 2376 set thread context of 2520 2376 svchost.exe 222 PID 1532 set thread context of 1836 1532 svchost.exe 230 PID 2296 set thread context of 2320 2296 svchost.exe 238 PID 1972 set thread context of 1264 1972 svchost.exe 246 PID 1464 set thread context of 2584 1464 svchost.exe 254 PID 2356 set thread context of 1892 2356 svchost.exe 262 PID 1336 set thread context of 364 1336 svchost.exe 270 PID 1464 set thread context of 2984 1464 svchost.exe 278 PID 1596 set thread context of 2896 1596 svchost.exe 286 PID 1532 set thread context of 1148 1532 svchost.exe 294 PID 1972 set thread context of 988 1972 svchost.exe 302 PID 1708 set thread context of 2420 1708 svchost.exe 310 PID 2760 set thread context of 3100 2760 svchost.exe 318 PID 3308 set thread context of 3360 3308 svchost.exe 326 PID 3576 set thread context of 3624 3576 svchost.exe 334 PID 3828 set thread context of 3876 3828 svchost.exe 342 PID 4088 set thread context of 3096 4088 svchost.exe 350 PID 3224 set thread context of 3376 3224 svchost.exe 358 PID 3612 set thread context of 3476 3612 svchost.exe 366 PID 3892 set thread context of 3928 3892 svchost.exe 374 PID 3132 set thread context of 1504 3132 svchost.exe 382 PID 3464 set thread context of 3660 3464 svchost.exe 390 PID 3740 set thread context of 3828 3740 svchost.exe 398 PID 1604 set thread context of 3996 1604 svchost.exe 406 PID 3620 set thread context of 3496 3620 svchost.exe 414 PID 4064 set thread context of 4084 4064 svchost.exe 422 PID 3568 set thread context of 3592 3568 svchost.exe 430 PID 3804 set thread context of 3152 3804 svchost.exe 438 PID 3452 set thread context of 3216 3452 svchost.exe 446 PID 3496 set thread context of 3932 3496 svchost.exe 454 PID 3088 set thread context of 3736 3088 svchost.exe 462 -
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).
-
Suspicious use of AdjustPrivilegeToken 64 IoCs
description pid Process Token: SeIncreaseQuotaPrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeSecurityPrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeTakeOwnershipPrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeLoadDriverPrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeSystemProfilePrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeSystemtimePrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeProfSingleProcessPrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeIncBasePriorityPrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeCreatePagefilePrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeBackupPrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeRestorePrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeShutdownPrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeDebugPrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeSystemEnvironmentPrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeChangeNotifyPrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeRemoteShutdownPrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeUndockPrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeManageVolumePrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeImpersonatePrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeCreateGlobalPrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: 33 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: 34 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: 35 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeRestorePrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeBackupPrivilege 3036 a09880e53ebc8c020376de61d7a21efc.exe Token: SeIncreaseQuotaPrivilege 2360 svchost.exe Token: SeSecurityPrivilege 2360 svchost.exe Token: SeTakeOwnershipPrivilege 2360 svchost.exe Token: SeLoadDriverPrivilege 2360 svchost.exe Token: SeSystemProfilePrivilege 2360 svchost.exe Token: SeSystemtimePrivilege 2360 svchost.exe Token: SeProfSingleProcessPrivilege 2360 svchost.exe Token: SeIncBasePriorityPrivilege 2360 svchost.exe Token: SeCreatePagefilePrivilege 2360 svchost.exe Token: SeBackupPrivilege 2360 svchost.exe Token: SeRestorePrivilege 2360 svchost.exe Token: SeShutdownPrivilege 2360 svchost.exe Token: SeDebugPrivilege 2360 svchost.exe Token: SeSystemEnvironmentPrivilege 2360 svchost.exe Token: SeChangeNotifyPrivilege 2360 svchost.exe Token: SeRemoteShutdownPrivilege 2360 svchost.exe Token: SeUndockPrivilege 2360 svchost.exe Token: SeManageVolumePrivilege 2360 svchost.exe Token: SeImpersonatePrivilege 2360 svchost.exe Token: SeCreateGlobalPrivilege 2360 svchost.exe Token: 33 2360 svchost.exe Token: 34 2360 svchost.exe Token: 35 2360 svchost.exe Token: SeRestorePrivilege 2360 svchost.exe Token: SeBackupPrivilege 2360 svchost.exe Token: SeIncreaseQuotaPrivilege 1968 svchost.exe Token: SeSecurityPrivilege 1968 svchost.exe Token: SeTakeOwnershipPrivilege 1968 svchost.exe Token: SeLoadDriverPrivilege 1968 svchost.exe Token: SeSystemProfilePrivilege 1968 svchost.exe Token: SeSystemtimePrivilege 1968 svchost.exe Token: SeProfSingleProcessPrivilege 1968 svchost.exe Token: SeIncBasePriorityPrivilege 1968 svchost.exe Token: SeCreatePagefilePrivilege 1968 svchost.exe Token: SeBackupPrivilege 1968 svchost.exe Token: SeRestorePrivilege 1968 svchost.exe Token: SeShutdownPrivilege 1968 svchost.exe Token: SeDebugPrivilege 1968 svchost.exe Token: SeSystemEnvironmentPrivilege 1968 svchost.exe -
Suspicious use of WriteProcessMemory 64 IoCs
description pid Process procid_target PID 2692 wrote to memory of 3036 2692 a09880e53ebc8c020376de61d7a21efc.exe 28 PID 2692 wrote to memory of 3036 2692 a09880e53ebc8c020376de61d7a21efc.exe 28 PID 2692 wrote to memory of 3036 2692 a09880e53ebc8c020376de61d7a21efc.exe 28 PID 2692 wrote to memory of 3036 2692 a09880e53ebc8c020376de61d7a21efc.exe 28 PID 2692 wrote to memory of 3036 2692 a09880e53ebc8c020376de61d7a21efc.exe 28 PID 2692 wrote to memory of 3036 2692 a09880e53ebc8c020376de61d7a21efc.exe 28 PID 2692 wrote to memory of 3036 2692 a09880e53ebc8c020376de61d7a21efc.exe 28 PID 2692 wrote to memory of 3036 2692 a09880e53ebc8c020376de61d7a21efc.exe 28 PID 2692 wrote to memory of 3036 2692 a09880e53ebc8c020376de61d7a21efc.exe 28 PID 2692 wrote to memory of 3036 2692 a09880e53ebc8c020376de61d7a21efc.exe 28 PID 2692 wrote to memory of 3036 2692 a09880e53ebc8c020376de61d7a21efc.exe 28 PID 3036 wrote to memory of 2496 3036 a09880e53ebc8c020376de61d7a21efc.exe 29 PID 3036 wrote to memory of 2496 3036 a09880e53ebc8c020376de61d7a21efc.exe 29 PID 3036 wrote to memory of 2496 3036 a09880e53ebc8c020376de61d7a21efc.exe 29 PID 3036 wrote to memory of 2496 3036 a09880e53ebc8c020376de61d7a21efc.exe 29 PID 3036 wrote to memory of 2496 3036 a09880e53ebc8c020376de61d7a21efc.exe 29 PID 3036 wrote to memory of 2496 3036 a09880e53ebc8c020376de61d7a21efc.exe 29 PID 3036 wrote to memory of 2496 3036 a09880e53ebc8c020376de61d7a21efc.exe 29 PID 3036 wrote to memory of 2916 3036 a09880e53ebc8c020376de61d7a21efc.exe 31 PID 3036 wrote to memory of 2916 3036 a09880e53ebc8c020376de61d7a21efc.exe 31 PID 3036 wrote to memory of 2916 3036 a09880e53ebc8c020376de61d7a21efc.exe 31 PID 3036 wrote to memory of 2916 3036 a09880e53ebc8c020376de61d7a21efc.exe 31 PID 3036 wrote to memory of 2916 3036 a09880e53ebc8c020376de61d7a21efc.exe 31 PID 3036 wrote to memory of 2916 3036 a09880e53ebc8c020376de61d7a21efc.exe 31 PID 3036 wrote to memory of 2916 3036 a09880e53ebc8c020376de61d7a21efc.exe 31 PID 2496 wrote to memory of 2672 2496 cmd.exe 33 PID 2496 wrote to memory of 2672 2496 cmd.exe 33 PID 2496 wrote to memory of 2672 2496 cmd.exe 33 PID 2496 wrote to memory of 2672 2496 cmd.exe 33 PID 2496 wrote to memory of 2672 2496 cmd.exe 33 PID 2496 wrote to memory of 2672 2496 cmd.exe 33 PID 2496 wrote to memory of 2672 2496 cmd.exe 33 PID 2916 wrote to memory of 2356 2916 cmd.exe 34 PID 2916 wrote to memory of 2356 2916 cmd.exe 34 PID 2916 wrote to memory of 2356 2916 cmd.exe 34 PID 2916 wrote to memory of 2356 2916 cmd.exe 34 PID 2916 wrote to memory of 2356 2916 cmd.exe 34 PID 2916 wrote to memory of 2356 2916 cmd.exe 34 PID 2916 wrote to memory of 2356 2916 cmd.exe 34 PID 3036 wrote to memory of 2488 3036 a09880e53ebc8c020376de61d7a21efc.exe 35 PID 3036 wrote to memory of 2488 3036 a09880e53ebc8c020376de61d7a21efc.exe 35 PID 3036 wrote to memory of 2488 3036 a09880e53ebc8c020376de61d7a21efc.exe 35 PID 3036 wrote to memory of 2488 3036 a09880e53ebc8c020376de61d7a21efc.exe 35 PID 3036 wrote to memory of 2488 3036 a09880e53ebc8c020376de61d7a21efc.exe 35 PID 3036 wrote to memory of 2488 3036 a09880e53ebc8c020376de61d7a21efc.exe 35 PID 3036 wrote to memory of 2488 3036 a09880e53ebc8c020376de61d7a21efc.exe 35 PID 2488 wrote to memory of 2360 2488 svchost.exe 36 PID 2488 wrote to memory of 2360 2488 svchost.exe 36 PID 2488 wrote to memory of 2360 2488 svchost.exe 36 PID 2488 wrote to memory of 2360 2488 svchost.exe 36 PID 2488 wrote to memory of 2360 2488 svchost.exe 36 PID 2488 wrote to memory of 2360 2488 svchost.exe 36 PID 2488 wrote to memory of 2360 2488 svchost.exe 36 PID 2488 wrote to memory of 2360 2488 svchost.exe 36 PID 2488 wrote to memory of 2360 2488 svchost.exe 36 PID 2488 wrote to memory of 2360 2488 svchost.exe 36 PID 2488 wrote to memory of 2360 2488 svchost.exe 36 PID 2360 wrote to memory of 520 2360 svchost.exe 37 PID 2360 wrote to memory of 520 2360 svchost.exe 37 PID 2360 wrote to memory of 520 2360 svchost.exe 37 PID 2360 wrote to memory of 520 2360 svchost.exe 37 PID 2360 wrote to memory of 520 2360 svchost.exe 37 PID 2360 wrote to memory of 520 2360 svchost.exe 37 PID 2360 wrote to memory of 520 2360 svchost.exe 37 -
Views/modifies file attributes 1 TTPs 64 IoCs
pid Process 2128 attrib.exe 2616 attrib.exe 1496 attrib.exe 268 attrib.exe 3468 attrib.exe 2484 attrib.exe 1932 attrib.exe 2552 attrib.exe 3820 attrib.exe 2028 attrib.exe 2252 attrib.exe 3296 attrib.exe 2024 attrib.exe 2864 attrib.exe 1528 attrib.exe 2380 attrib.exe 4060 attrib.exe 1160 attrib.exe 1476 attrib.exe 3548 attrib.exe 3900 attrib.exe 940 attrib.exe 548 attrib.exe 1172 attrib.exe 3324 attrib.exe 2888 attrib.exe 1464 attrib.exe 2132 attrib.exe 2260 attrib.exe 3980 attrib.exe 1760 attrib.exe 3520 attrib.exe 1100 attrib.exe 2020 attrib.exe 1172 attrib.exe 2560 attrib.exe 364 attrib.exe 1704 attrib.exe 4072 attrib.exe 3924 attrib.exe 2672 attrib.exe 2376 attrib.exe 988 attrib.exe 3332 attrib.exe 3088 attrib.exe 3308 attrib.exe 3812 attrib.exe 2680 attrib.exe 2024 attrib.exe 948 attrib.exe 1948 attrib.exe 2380 attrib.exe 1704 attrib.exe 1124 attrib.exe 3740 attrib.exe 3980 attrib.exe 2340 attrib.exe 2976 attrib.exe 1984 attrib.exe 2616 attrib.exe 368 attrib.exe 4084 attrib.exe 3436 attrib.exe 3632 attrib.exe
Processes
-
C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe"C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe"1⤵
- Suspicious use of SetThreadContext
- Suspicious use of WriteProcessMemory
PID:2692 -
C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exeC:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe2⤵
- Modifies WinLogon for persistence
- Loads dropped DLL
- Adds Run key to start application
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:3036 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe" +s +h3⤵
- Suspicious use of WriteProcessMemory
PID:2496 -
C:\Windows\SysWOW64\attrib.exeattrib "C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe" +s +h4⤵
- Views/modifies file attributes
PID:2672
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp" +s +h3⤵
- Suspicious use of WriteProcessMemory
PID:2916 -
C:\Windows\SysWOW64\attrib.exeattrib "C:\Users\Admin\AppData\Local\Temp" +s +h4⤵
- Sets file to hidden
PID:2356
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetThreadContext
- Suspicious use of WriteProcessMemory
PID:2488 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe4⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Drops file in System32 directory
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:2360 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h5⤵PID:520
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h6⤵PID:1960
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h5⤵PID:464
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h6⤵
- Sets file to hidden
- Views/modifies file attributes
PID:2024
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"5⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetThreadContext
PID:1688 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe6⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Drops file in System32 directory
- Suspicious use of AdjustPrivilegeToken
PID:1968 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h7⤵PID:572
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h8⤵
- Drops file in System32 directory
PID:2008
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h7⤵PID:2092
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h8⤵
- Views/modifies file attributes
PID:1100
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"7⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetThreadContext
PID:2216 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe8⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Drops file in System32 directory
PID:2276 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h9⤵PID:1956
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h10⤵
- Sets file to hidden
- Views/modifies file attributes
PID:2028
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h9⤵PID:1416
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h10⤵
- Drops file in System32 directory
- Views/modifies file attributes
PID:2888
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"9⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetThreadContext
PID:1264 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe10⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
PID:1556 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h11⤵PID:1500
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h12⤵
- Sets file to hidden
- Views/modifies file attributes
PID:948
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h11⤵PID:1192
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h12⤵
- Sets file to hidden
PID:1984
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"11⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetThreadContext
PID:2128 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe12⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Drops file in System32 directory
PID:2752 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h13⤵PID:2768
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h14⤵
- Sets file to hidden
- Views/modifies file attributes
PID:940
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h13⤵PID:2648
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h14⤵
- Views/modifies file attributes
PID:2484
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"13⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetThreadContext
PID:2316 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe14⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Drops file in System32 directory
PID:3008 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h15⤵PID:2740
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h16⤵PID:1156
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h15⤵PID:2728
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h16⤵
- Sets file to hidden
- Views/modifies file attributes
PID:1464
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"15⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetThreadContext
PID:2040 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe16⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Drops file in System32 directory
PID:2232 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h17⤵PID:2572
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h18⤵
- Sets file to hidden
PID:1112
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h17⤵PID:1016
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h18⤵PID:1368
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"17⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetThreadContext
PID:1776 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe18⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Drops file in System32 directory
PID:2208 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h19⤵PID:2200
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h20⤵PID:1604
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h19⤵PID:2176
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h20⤵
- Sets file to hidden
- Drops file in System32 directory
PID:2028
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"19⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2888 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe20⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:1940 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h21⤵PID:1088
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h22⤵
- Sets file to hidden
PID:948
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h21⤵PID:824
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h22⤵
- Views/modifies file attributes
PID:2132
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"21⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2876 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe22⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:1020 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h23⤵PID:2424
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h24⤵PID:2516
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h23⤵PID:2464
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h24⤵
- Sets file to hidden
- Views/modifies file attributes
PID:2340
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"23⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:940 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe24⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:2336 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h25⤵PID:2548
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h26⤵
- Views/modifies file attributes
PID:2024
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h25⤵PID:2316
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h26⤵
- Sets file to hidden
- Drops file in System32 directory
- Views/modifies file attributes
PID:2976
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"25⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2604 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe26⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:1488 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h27⤵PID:1100
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h28⤵
- Sets file to hidden
- Views/modifies file attributes
PID:364
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h27⤵PID:2244
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h28⤵
- Sets file to hidden
- Views/modifies file attributes
PID:1124
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"27⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2780 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe28⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:3016 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h29⤵PID:3000
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h30⤵
- Sets file to hidden
- Drops file in System32 directory
PID:1628
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h29⤵PID:2240
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h30⤵PID:988
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"29⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:696 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe30⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:1188 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h31⤵PID:1608
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h32⤵
- Sets file to hidden
- Views/modifies file attributes
PID:1948
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h31⤵PID:2264
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h32⤵
- Sets file to hidden
- Drops file in System32 directory
PID:1496
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"31⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1576 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe32⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:1752 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h33⤵PID:2588
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h34⤵PID:2840
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h33⤵PID:2668
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h34⤵
- Sets file to hidden
PID:1596
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"33⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1624 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe34⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:1896 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h35⤵PID:2412
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h36⤵
- Views/modifies file attributes
PID:1760
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h35⤵PID:564
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h36⤵
- Views/modifies file attributes
PID:1160
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"35⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1604 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe36⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:1152 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h37⤵PID:1952
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h38⤵
- Views/modifies file attributes
PID:1932
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h37⤵PID:2136
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h38⤵
- Sets file to hidden
PID:760
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"37⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:696 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe38⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:2000 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h39⤵PID:2708
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h40⤵
- Sets file to hidden
- Views/modifies file attributes
PID:2380
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h39⤵PID:2512
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h40⤵
- Sets file to hidden
- Views/modifies file attributes
PID:2128
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"39⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2532 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe40⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:2564 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h41⤵PID:1212
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h42⤵
- Views/modifies file attributes
PID:2260
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h41⤵PID:1112
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h42⤵
- Sets file to hidden
- Drops file in System32 directory
- Views/modifies file attributes
PID:2020
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"41⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1960 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe42⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:1712 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h43⤵PID:2792
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h44⤵
- Views/modifies file attributes
PID:368
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h43⤵PID:936
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h44⤵
- Drops file in System32 directory
- Views/modifies file attributes
PID:1984
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"43⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2988 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe44⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:2420 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h45⤵PID:2860
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h46⤵
- Sets file to hidden
- Views/modifies file attributes
PID:2376
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h45⤵PID:2692
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h46⤵
- Drops file in System32 directory
- Views/modifies file attributes
PID:2864
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"45⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1716 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe46⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:2364 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h47⤵PID:3056
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h48⤵PID:1452
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h47⤵PID:1380
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h48⤵
- Drops file in System32 directory
PID:856
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"47⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1796 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe48⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:2196 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h49⤵PID:2960
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h50⤵
- Sets file to hidden
- Views/modifies file attributes
PID:2552
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h49⤵PID:2540
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h50⤵
- Sets file to hidden
PID:2128
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"49⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2376 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe50⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:2520 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h51⤵PID:2224
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h52⤵
- Sets file to hidden
PID:588
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h51⤵PID:1760
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h52⤵
- Sets file to hidden
- Views/modifies file attributes
PID:2252
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"51⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1532 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe52⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:1836 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h53⤵PID:2324
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h54⤵
- Drops file in System32 directory
PID:2040
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h53⤵PID:1104
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h54⤵
- Views/modifies file attributes
PID:1704
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"53⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2296 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe54⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:2320 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h55⤵PID:2164
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h56⤵
- Drops file in System32 directory
- Views/modifies file attributes
PID:1528
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h55⤵PID:2608
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h56⤵
- Sets file to hidden
- Views/modifies file attributes
PID:548
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"55⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1972 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe56⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:1264 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h57⤵PID:1468
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h58⤵
- Sets file to hidden
- Views/modifies file attributes
PID:2616
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h57⤵PID:2836
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h58⤵
- Drops file in System32 directory
- Views/modifies file attributes
PID:2680
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"57⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1464 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe58⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:2584 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h59⤵PID:1620
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h60⤵
- Sets file to hidden
- Views/modifies file attributes
PID:1496
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h59⤵PID:952
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h60⤵PID:2956
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"59⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2356 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe60⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:1892 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h61⤵PID:796
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h62⤵
- Sets file to hidden
- Drops file in System32 directory
- Views/modifies file attributes
PID:268
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h61⤵PID:2384
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h62⤵
- Sets file to hidden
PID:1464
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"61⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1336 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe62⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:364 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h63⤵PID:1684
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h64⤵
- Views/modifies file attributes
PID:2380
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h63⤵PID:2980
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h64⤵
- Sets file to hidden
- Drops file in System32 directory
PID:2392
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"63⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1464 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe64⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:2984 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h65⤵PID:1376
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h66⤵
- Sets file to hidden
PID:1528
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h65⤵PID:1984
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h66⤵
- Sets file to hidden
- Views/modifies file attributes
PID:2616
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"65⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1596 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe66⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:2896 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h67⤵PID:1160
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h68⤵
- Sets file to hidden
- Drops file in System32 directory
- Views/modifies file attributes
PID:1476
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h67⤵PID:1568
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h68⤵
- Sets file to hidden
- Views/modifies file attributes
PID:988
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"67⤵
- Suspicious use of SetThreadContext
PID:1532 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe68⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:1148 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h69⤵PID:2380
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h70⤵
- Sets file to hidden
- Views/modifies file attributes
PID:1172
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h69⤵PID:548
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h70⤵
- Sets file to hidden
PID:1892
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"69⤵
- Suspicious use of SetThreadContext
PID:1972 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe70⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:988 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h71⤵PID:1628
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h72⤵PID:2760
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h71⤵PID:2864
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h72⤵
- Sets file to hidden
PID:2420
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"71⤵
- Suspicious use of SetThreadContext
PID:1708 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe72⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:2420 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h73⤵PID:1532
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h74⤵
- Sets file to hidden
PID:1504
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h73⤵PID:780
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h74⤵
- Views/modifies file attributes
PID:1172
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"73⤵
- Suspicious use of SetThreadContext
PID:2760 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe74⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:3100 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h75⤵PID:3228
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h76⤵
- Sets file to hidden
- Drops file in System32 directory
- Views/modifies file attributes
PID:3296
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h75⤵PID:3244
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h76⤵
- Sets file to hidden
PID:3284
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"75⤵
- Suspicious use of SetThreadContext
PID:3308 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe76⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:3360 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h77⤵PID:3484
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h78⤵
- Views/modifies file attributes
PID:3548
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h77⤵PID:3500
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h78⤵
- Sets file to hidden
PID:3560
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"77⤵
- Suspicious use of SetThreadContext
PID:3576 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe78⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:3624 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h79⤵PID:3752
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h80⤵
- Sets file to hidden
- Drops file in System32 directory
PID:3792
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h79⤵PID:3768
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h80⤵
- Views/modifies file attributes
PID:3820
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"79⤵
- Suspicious use of SetThreadContext
PID:3828 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe80⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:3876 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h81⤵PID:4004
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h82⤵
- Sets file to hidden
- Views/modifies file attributes
PID:4060
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h81⤵PID:4020
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h82⤵
- Sets file to hidden
- Views/modifies file attributes
PID:4072
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"81⤵
- Suspicious use of SetThreadContext
PID:4088 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe82⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:3096 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h83⤵PID:3180
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h84⤵
- Sets file to hidden
- Views/modifies file attributes
PID:3324
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h83⤵PID:3260
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h84⤵
- Drops file in System32 directory
- Views/modifies file attributes
PID:3332
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"83⤵
- Suspicious use of SetThreadContext
PID:3224 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe84⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:3376 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h85⤵PID:1360
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h86⤵PID:3568
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h85⤵PID:916
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h86⤵
- Sets file to hidden
- Views/modifies file attributes
PID:3468
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"85⤵
- Suspicious use of SetThreadContext
PID:3612 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe86⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:3476 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h87⤵PID:3840
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h88⤵
- Views/modifies file attributes
PID:3900
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h87⤵PID:3856
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h88⤵
- Sets file to hidden
PID:3908
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"87⤵
- Suspicious use of SetThreadContext
PID:3892 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe88⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:3928 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h89⤵PID:3988
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h90⤵
- Sets file to hidden
PID:2956
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h89⤵PID:4080
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h90⤵
- Sets file to hidden
- Views/modifies file attributes
PID:2560
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"89⤵
- Suspicious use of SetThreadContext
PID:3132 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe90⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:1504 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h91⤵PID:3404
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h92⤵
- Views/modifies file attributes
PID:3308
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h91⤵PID:3416
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h92⤵
- Sets file to hidden
PID:3448
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"91⤵
- Suspicious use of SetThreadContext
PID:3464 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe92⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:3660 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h93⤵PID:3616
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h94⤵
- Sets file to hidden
- Drops file in System32 directory
- Views/modifies file attributes
PID:3812
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h93⤵PID:3712
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h94⤵PID:3912
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"93⤵
- Suspicious use of SetThreadContext
PID:3740 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe94⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:3828 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h95⤵PID:268
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h96⤵
- Views/modifies file attributes
PID:3088
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h95⤵PID:3092
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h96⤵
- Sets file to hidden
- Views/modifies file attributes
PID:4084
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"95⤵
- Suspicious use of SetThreadContext
PID:1604 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe96⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:3996 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h97⤵PID:3572
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h98⤵PID:960
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h97⤵PID:3468
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h98⤵PID:3568
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"97⤵
- Suspicious use of SetThreadContext
PID:3620 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe98⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:3496 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h99⤵PID:3952
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h100⤵
- Views/modifies file attributes
PID:3740
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h99⤵PID:3960
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h100⤵
- Sets file to hidden
- Drops file in System32 directory
- Views/modifies file attributes
PID:3980
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"99⤵
- Suspicious use of SetThreadContext
PID:4064 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe100⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:4084 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h101⤵PID:2760
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h102⤵
- Views/modifies file attributes
PID:3436
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h101⤵PID:3356
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h102⤵
- Drops file in System32 directory
PID:3640
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"101⤵
- Suspicious use of SetThreadContext
PID:3568 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe102⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:3592 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h103⤵PID:3832
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h104⤵
- Sets file to hidden
- Drops file in System32 directory
- Views/modifies file attributes
PID:1704
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h103⤵PID:3968
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h104⤵PID:3088
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"103⤵
- Suspicious use of SetThreadContext
PID:3804 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe104⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:3152 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h105⤵PID:3364
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h106⤵
- Sets file to hidden
PID:3588
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h105⤵PID:3340
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h106⤵
- Sets file to hidden
- Drops file in System32 directory
PID:3920
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"105⤵
- Suspicious use of SetThreadContext
PID:3452 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe106⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:3216 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h107⤵PID:3792
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h108⤵
- Views/modifies file attributes
PID:3520
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h107⤵PID:3324
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h108⤵
- Sets file to hidden
PID:3736
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"107⤵
- Suspicious use of SetThreadContext
PID:3496 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe108⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:3932 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h109⤵PID:3836
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h110⤵
- Sets file to hidden
- Views/modifies file attributes
PID:3632
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h109⤵PID:3564
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h110⤵
- Views/modifies file attributes
PID:3924
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"109⤵
- Suspicious use of SetThreadContext
PID:3088 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe110⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:3736 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h111⤵PID:3496
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h112⤵
- Sets file to hidden
- Views/modifies file attributes
PID:3980
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h111⤵PID:3640
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h112⤵
- Sets file to hidden
PID:4044
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"111⤵PID:3804
-
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe112⤵PID:3884
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h113⤵PID:3304
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h114⤵PID:556
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h113⤵PID:3076
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h114⤵
- Sets file to hidden
PID:3380
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"113⤵PID:3388
-
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe114⤵PID:3912
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
C:\Windows\system32\conhost.exe\??\C:\Windows\system32\conhost.exe "21794103016675464145009920421145951967-890746049-248248989-18690273761848036419"1⤵
- Drops file in System32 directory
PID:2616
Network
MITRE ATT&CK Enterprise v15
Persistence
Boot or Logon Autostart Execution
2Registry Run Keys / Startup Folder
1Winlogon Helper DLL
1Privilege Escalation
Boot or Logon Autostart Execution
2Registry Run Keys / Startup Folder
1Winlogon Helper DLL
1Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
192KB
MD52fca9d0a35345e08687988178a1a3476
SHA1003e2e33a931caae4f02aa1ef1a32e266960a3a5
SHA2567d8a92aaf8b31d1034d165ba37edde7e7b914d01ef6c6384310ecfc78955b5b3
SHA5125426d455da639169dde24e441f48f9741dfee49d450f88a651c376f24bd8ee0d4fceb28e28ffa8be26fff2299dd9d3e93ed954757c4fa3c59569b6be628dce60
-
Filesize
277KB
MD5a09880e53ebc8c020376de61d7a21efc
SHA102405fae61c1f50e16f95a954eb8d1e972a05aad
SHA25674168ffe0ac7ae5e91e3cffd8d1d0fbc096aae558812aee4af0b283867e8646a
SHA5125fb3b360d1c424a12ff4a7abeb32303508a89f1108a81a8a96a170aacd18310e868d3a1e558ef5b61e491c98e8cb317929d5e699c41840a1db06f27cb4a7f697
-
Filesize
128KB
MD5594a0681fc75aa705ccff5406a77b73a
SHA1b8c2012900e4c0323356b550bba90b5790f78fa7
SHA256ba0553d895f0373b9bc00fe14631a050874d6d0b04443925223258c20f96cebb
SHA512730519bd0f6b80f703d4ad668650cf36e364cffde4a2135b4b2a60af89cdfb4a398f73a525269fc78d7e59bdd19f28a8f0497c4b0a63189801a91da22f135359
-
Filesize
137KB
MD5deb0014f877ea4489c0f6c5544fc0c38
SHA1c1aafcd5f12698964e252f10157f32bf35e83736
SHA256242aa8659a54cab75bee694fea37005ed0fe9a28fa01cef1a9e5d1b3ff137378
SHA512a88a3fa3a0d6570971e27f0128cb09bab359f16310115c4ff558d849c269ec3805032cc1588987ce27ed5982fb6e5acc560a37312f26e66e80a6398106887f88