Analysis
-
max time kernel
150s -
max time network
153s -
platform
windows10-2004_x64 -
resource
win10v2004-20240221-en -
resource tags
arch:x64arch:x86image:win10v2004-20240221-enlocale:en-usos:windows10-2004-x64system -
submitted
23/02/2024, 23:16
Static task
static1
Behavioral task
behavioral1
Sample
a09880e53ebc8c020376de61d7a21efc.exe
Resource
win7-20240221-en
General
-
Target
a09880e53ebc8c020376de61d7a21efc.exe
-
Size
277KB
-
MD5
a09880e53ebc8c020376de61d7a21efc
-
SHA1
02405fae61c1f50e16f95a954eb8d1e972a05aad
-
SHA256
74168ffe0ac7ae5e91e3cffd8d1d0fbc096aae558812aee4af0b283867e8646a
-
SHA512
5fb3b360d1c424a12ff4a7abeb32303508a89f1108a81a8a96a170aacd18310e868d3a1e558ef5b61e491c98e8cb317929d5e699c41840a1db06f27cb4a7f697
-
SSDEEP
6144:kcOmqI0l3DKSRau154KtPNaHbjTDGiy56d6i4oMmA:FOmWl5L15tNQbrGL5TBoMB
Malware Config
Extracted
darkcomet
Bac
microsoft2011.servehttp.com:48445
RTS0KDT
-
InstallPath
System32\svchost.exe
-
gencode
32tD5p6h4x3R
-
install
true
-
offline_keylogger
true
-
password
picaso951753852
-
persistence
true
-
reg_key
svchost
Extracted
darkcomet
- gencode
-
install
false
-
offline_keylogger
false
-
persistence
false
Signatures
-
Modifies WinLogon for persistence 2 TTPs 57 IoCs
description ioc Process Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe" a09880e53ebc8c020376de61d7a21efc.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe -
Sets file to hidden 1 TTPs 64 IoCs
Modifies file attributes to stop it showing in Explorer etc.
pid Process 1796 attrib.exe 5672 attrib.exe 6792 attrib.exe 2792 attrib.exe 4884 attrib.exe 5936 attrib.exe 1528 attrib.exe 4028 attrib.exe 6384 attrib.exe 112 attrib.exe 5188 attrib.exe 5212 attrib.exe 6932 attrib.exe 7064 attrib.exe 6008 attrib.exe 4928 attrib.exe 4116 attrib.exe 5960 attrib.exe 5988 attrib.exe 5388 attrib.exe 6384 attrib.exe 836 attrib.exe 6496 attrib.exe 1008 attrib.exe 2300 attrib.exe 5688 attrib.exe 6160 attrib.exe 6652 attrib.exe 6388 attrib.exe 1868 attrib.exe 6404 attrib.exe 6956 attrib.exe 1248 attrib.exe 4460 attrib.exe 2792 attrib.exe 1056 attrib.exe 5476 attrib.exe 5308 attrib.exe 2488 attrib.exe 6412 attrib.exe 4576 attrib.exe 1268 attrib.exe 5376 attrib.exe 7176 attrib.exe 4308 attrib.exe 5204 attrib.exe 7056 attrib.exe 6356 attrib.exe 824 attrib.exe 3864 attrib.exe 2128 attrib.exe 5084 attrib.exe 2192 attrib.exe 5124 attrib.exe 1608 attrib.exe 6480 attrib.exe 2664 attrib.exe 3280 attrib.exe 5784 attrib.exe 3400 attrib.exe 5140 attrib.exe 2832 attrib.exe 3948 attrib.exe 4680 attrib.exe -
Checks computer location settings 2 TTPs 57 IoCs
Looks up country code configured in the registry, likely geofence.
description ioc Process Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation a09880e53ebc8c020376de61d7a21efc.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation svchost.exe -
Executes dropped EXE 64 IoCs
pid Process 3504 svchost.exe 4628 svchost.exe 1664 svchost.exe 592 svchost.exe 3824 svchost.exe 2148 svchost.exe 3432 svchost.exe 3584 svchost.exe 3600 svchost.exe 4500 svchost.exe 1720 svchost.exe 3604 svchost.exe 3904 svchost.exe 4140 svchost.exe 3868 svchost.exe 688 svchost.exe 2908 svchost.exe 4748 svchost.exe 3964 svchost.exe 3604 svchost.exe 2144 svchost.exe 2812 svchost.exe 3600 svchost.exe 4540 svchost.exe 5084 svchost.exe 3552 svchost.exe 2076 svchost.exe 1804 svchost.exe 2176 svchost.exe 4060 svchost.exe 2136 svchost.exe 1724 svchost.exe 4156 svchost.exe 4356 svchost.exe 3260 svchost.exe 4328 svchost.exe 3260 svchost.exe 3600 svchost.exe 5160 svchost.exe 5192 svchost.exe 5416 svchost.exe 5452 svchost.exe 5688 svchost.exe 5724 svchost.exe 5976 svchost.exe 6012 svchost.exe 5208 svchost.exe 5180 svchost.exe 5504 svchost.exe 3204 svchost.exe 5776 svchost.exe 3328 svchost.exe 5832 svchost.exe 6000 svchost.exe 2628 svchost.exe 556 svchost.exe 5704 svchost.exe 3752 svchost.exe 3152 svchost.exe 1532 svchost.exe 1268 svchost.exe 2808 svchost.exe 5552 svchost.exe 5112 svchost.exe -
Adds Run key to start application 2 TTPs 57 IoCs
description ioc Process Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" a09880e53ebc8c020376de61d7a21efc.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" svchost.exe -
Drops file in System32 directory 64 IoCs
description ioc Process File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe cmd.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32 attrib.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe svchost.exe File opened for modification C:\Windows\SysWOW64\System32\ svchost.exe File opened for modification C:\Windows\SysWOW64\System32\svchost.exe attrib.exe File created C:\Windows\SysWOW64\System32\svchost.exe svchost.exe -
Suspicious use of SetThreadContext 56 IoCs
description pid Process procid_target PID 5044 set thread context of 1436 5044 a09880e53ebc8c020376de61d7a21efc.exe 89 PID 3504 set thread context of 4628 3504 svchost.exe 99 PID 1664 set thread context of 592 1664 svchost.exe 107 PID 3824 set thread context of 2148 3824 svchost.exe 115 PID 3432 set thread context of 3584 3432 svchost.exe 123 PID 3600 set thread context of 4500 3600 svchost.exe 131 PID 1720 set thread context of 3604 1720 svchost.exe 139 PID 3904 set thread context of 4140 3904 svchost.exe 147 PID 3868 set thread context of 688 3868 svchost.exe 155 PID 2908 set thread context of 4748 2908 svchost.exe 163 PID 3964 set thread context of 3604 3964 svchost.exe 173 PID 2144 set thread context of 2812 2144 svchost.exe 182 PID 3600 set thread context of 4540 3600 svchost.exe 190 PID 5084 set thread context of 3552 5084 svchost.exe 198 PID 2076 set thread context of 1804 2076 svchost.exe 206 PID 2176 set thread context of 4060 2176 svchost.exe 214 PID 4156 set thread context of 4356 4156 svchost.exe 230 PID 3260 set thread context of 4328 3260 svchost.exe 238 PID 3260 set thread context of 3600 3260 svchost.exe 246 PID 5160 set thread context of 5192 5160 svchost.exe 254 PID 5416 set thread context of 5452 5416 svchost.exe 262 PID 5688 set thread context of 5724 5688 svchost.exe 270 PID 5976 set thread context of 6012 5976 svchost.exe 278 PID 5208 set thread context of 5180 5208 svchost.exe 286 PID 5504 set thread context of 3204 5504 svchost.exe 294 PID 5776 set thread context of 3328 5776 svchost.exe 302 PID 5832 set thread context of 6000 5832 svchost.exe 310 PID 2628 set thread context of 556 2628 svchost.exe 318 PID 5704 set thread context of 3752 5704 svchost.exe 326 PID 3152 set thread context of 1532 3152 svchost.exe 334 PID 1268 set thread context of 2808 1268 svchost.exe 342 PID 5552 set thread context of 5112 5552 svchost.exe 350 PID 2340 set thread context of 5660 2340 svchost.exe 358 PID 5360 set thread context of 1468 5360 svchost.exe 367 PID 5704 set thread context of 5800 5704 svchost.exe 376 PID 1200 set thread context of 4396 1200 svchost.exe 384 PID 5220 set thread context of 5052 5220 svchost.exe 392 PID 5644 set thread context of 5836 5644 cmd.exe 400 PID 1576 set thread context of 5220 1576 svchost.exe 408 PID 6180 set thread context of 6200 6180 svchost.exe 416 PID 6432 set thread context of 6460 6432 svchost.exe 424 PID 6688 set thread context of 6756 6688 svchost.exe 432 PID 6976 set thread context of 7012 6976 svchost.exe 440 PID 6216 set thread context of 4680 6216 svchost.exe 448 PID 6512 set thread context of 6448 6512 svchost.exe 456 PID 3420 set thread context of 6864 3420 svchost.exe 464 PID 2500 set thread context of 7132 2500 svchost.exe 472 PID 6244 set thread context of 2304 6244 svchost.exe 480 PID 1368 set thread context of 2128 1368 svchost.exe 488 PID 2420 set thread context of 6844 2420 svchost.exe 496 PID 5468 set thread context of 7084 5468 svchost.exe 504 PID 5328 set thread context of 6180 5328 svchost.exe 512 PID 7116 set thread context of 6680 7116 svchost.exe 520 PID 2408 set thread context of 3928 2408 svchost.exe 528 PID 2792 set thread context of 2332 2792 svchost.exe 536 PID 7196 set thread context of 7228 7196 svchost.exe 544 -
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).
-
Modifies registry class 56 IoCs
description ioc Process Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ a09880e53ebc8c020376de61d7a21efc.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ svchost.exe -
Suspicious use of AdjustPrivilegeToken 64 IoCs
description pid Process Token: SeIncreaseQuotaPrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeSecurityPrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeTakeOwnershipPrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeLoadDriverPrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeSystemProfilePrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeSystemtimePrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeProfSingleProcessPrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeIncBasePriorityPrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeCreatePagefilePrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeBackupPrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeRestorePrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeShutdownPrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeDebugPrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeSystemEnvironmentPrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeChangeNotifyPrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeRemoteShutdownPrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeUndockPrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeManageVolumePrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeImpersonatePrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeCreateGlobalPrivilege 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: 33 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: 34 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: 35 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: 36 1436 a09880e53ebc8c020376de61d7a21efc.exe Token: SeIncreaseQuotaPrivilege 4628 svchost.exe Token: SeSecurityPrivilege 4628 svchost.exe Token: SeTakeOwnershipPrivilege 4628 svchost.exe Token: SeLoadDriverPrivilege 4628 svchost.exe Token: SeSystemProfilePrivilege 4628 svchost.exe Token: SeSystemtimePrivilege 4628 svchost.exe Token: SeProfSingleProcessPrivilege 4628 svchost.exe Token: SeIncBasePriorityPrivilege 4628 svchost.exe Token: SeCreatePagefilePrivilege 4628 svchost.exe Token: SeBackupPrivilege 4628 svchost.exe Token: SeRestorePrivilege 4628 svchost.exe Token: SeShutdownPrivilege 4628 svchost.exe Token: SeDebugPrivilege 4628 svchost.exe Token: SeSystemEnvironmentPrivilege 4628 svchost.exe Token: SeChangeNotifyPrivilege 4628 svchost.exe Token: SeRemoteShutdownPrivilege 4628 svchost.exe Token: SeUndockPrivilege 4628 svchost.exe Token: SeManageVolumePrivilege 4628 svchost.exe Token: SeImpersonatePrivilege 4628 svchost.exe Token: SeCreateGlobalPrivilege 4628 svchost.exe Token: 33 4628 svchost.exe Token: 34 4628 svchost.exe Token: 35 4628 svchost.exe Token: 36 4628 svchost.exe Token: SeIncreaseQuotaPrivilege 592 svchost.exe Token: SeSecurityPrivilege 592 svchost.exe Token: SeTakeOwnershipPrivilege 592 svchost.exe Token: SeLoadDriverPrivilege 592 svchost.exe Token: SeSystemProfilePrivilege 592 svchost.exe Token: SeSystemtimePrivilege 592 svchost.exe Token: SeProfSingleProcessPrivilege 592 svchost.exe Token: SeIncBasePriorityPrivilege 592 svchost.exe Token: SeCreatePagefilePrivilege 592 svchost.exe Token: SeBackupPrivilege 592 svchost.exe Token: SeRestorePrivilege 592 svchost.exe Token: SeShutdownPrivilege 592 svchost.exe Token: SeDebugPrivilege 592 svchost.exe Token: SeSystemEnvironmentPrivilege 592 svchost.exe Token: SeChangeNotifyPrivilege 592 svchost.exe Token: SeRemoteShutdownPrivilege 592 svchost.exe -
Suspicious use of WriteProcessMemory 64 IoCs
description pid Process procid_target PID 5044 wrote to memory of 1436 5044 a09880e53ebc8c020376de61d7a21efc.exe 89 PID 5044 wrote to memory of 1436 5044 a09880e53ebc8c020376de61d7a21efc.exe 89 PID 5044 wrote to memory of 1436 5044 a09880e53ebc8c020376de61d7a21efc.exe 89 PID 5044 wrote to memory of 1436 5044 a09880e53ebc8c020376de61d7a21efc.exe 89 PID 5044 wrote to memory of 1436 5044 a09880e53ebc8c020376de61d7a21efc.exe 89 PID 5044 wrote to memory of 1436 5044 a09880e53ebc8c020376de61d7a21efc.exe 89 PID 5044 wrote to memory of 1436 5044 a09880e53ebc8c020376de61d7a21efc.exe 89 PID 1436 wrote to memory of 4660 1436 a09880e53ebc8c020376de61d7a21efc.exe 90 PID 1436 wrote to memory of 4660 1436 a09880e53ebc8c020376de61d7a21efc.exe 90 PID 1436 wrote to memory of 4660 1436 a09880e53ebc8c020376de61d7a21efc.exe 90 PID 1436 wrote to memory of 3768 1436 a09880e53ebc8c020376de61d7a21efc.exe 92 PID 1436 wrote to memory of 3768 1436 a09880e53ebc8c020376de61d7a21efc.exe 92 PID 1436 wrote to memory of 3768 1436 a09880e53ebc8c020376de61d7a21efc.exe 92 PID 4660 wrote to memory of 4884 4660 cmd.exe 94 PID 4660 wrote to memory of 4884 4660 cmd.exe 94 PID 4660 wrote to memory of 4884 4660 cmd.exe 94 PID 3768 wrote to memory of 1248 3768 cmd.exe 95 PID 3768 wrote to memory of 1248 3768 cmd.exe 95 PID 3768 wrote to memory of 1248 3768 cmd.exe 95 PID 1436 wrote to memory of 3504 1436 a09880e53ebc8c020376de61d7a21efc.exe 97 PID 1436 wrote to memory of 3504 1436 a09880e53ebc8c020376de61d7a21efc.exe 97 PID 1436 wrote to memory of 3504 1436 a09880e53ebc8c020376de61d7a21efc.exe 97 PID 3504 wrote to memory of 4628 3504 svchost.exe 99 PID 3504 wrote to memory of 4628 3504 svchost.exe 99 PID 3504 wrote to memory of 4628 3504 svchost.exe 99 PID 3504 wrote to memory of 4628 3504 svchost.exe 99 PID 3504 wrote to memory of 4628 3504 svchost.exe 99 PID 3504 wrote to memory of 4628 3504 svchost.exe 99 PID 3504 wrote to memory of 4628 3504 svchost.exe 99 PID 4628 wrote to memory of 796 4628 svchost.exe 101 PID 4628 wrote to memory of 796 4628 svchost.exe 101 PID 4628 wrote to memory of 796 4628 svchost.exe 101 PID 4628 wrote to memory of 2976 4628 svchost.exe 102 PID 4628 wrote to memory of 2976 4628 svchost.exe 102 PID 4628 wrote to memory of 2976 4628 svchost.exe 102 PID 796 wrote to memory of 112 796 cmd.exe 104 PID 796 wrote to memory of 112 796 cmd.exe 104 PID 796 wrote to memory of 112 796 cmd.exe 104 PID 2976 wrote to memory of 1796 2976 cmd.exe 105 PID 2976 wrote to memory of 1796 2976 cmd.exe 105 PID 2976 wrote to memory of 1796 2976 cmd.exe 105 PID 4628 wrote to memory of 1664 4628 svchost.exe 106 PID 4628 wrote to memory of 1664 4628 svchost.exe 106 PID 4628 wrote to memory of 1664 4628 svchost.exe 106 PID 1664 wrote to memory of 592 1664 svchost.exe 107 PID 1664 wrote to memory of 592 1664 svchost.exe 107 PID 1664 wrote to memory of 592 1664 svchost.exe 107 PID 1664 wrote to memory of 592 1664 svchost.exe 107 PID 1664 wrote to memory of 592 1664 svchost.exe 107 PID 1664 wrote to memory of 592 1664 svchost.exe 107 PID 1664 wrote to memory of 592 1664 svchost.exe 107 PID 592 wrote to memory of 3960 592 svchost.exe 108 PID 592 wrote to memory of 3960 592 svchost.exe 108 PID 592 wrote to memory of 3960 592 svchost.exe 108 PID 592 wrote to memory of 3496 592 svchost.exe 110 PID 592 wrote to memory of 3496 592 svchost.exe 110 PID 592 wrote to memory of 3496 592 svchost.exe 110 PID 3960 wrote to memory of 4284 3960 cmd.exe 112 PID 3960 wrote to memory of 4284 3960 cmd.exe 112 PID 3960 wrote to memory of 4284 3960 cmd.exe 112 PID 3496 wrote to memory of 4384 3496 cmd.exe 113 PID 3496 wrote to memory of 4384 3496 cmd.exe 113 PID 3496 wrote to memory of 4384 3496 cmd.exe 113 PID 592 wrote to memory of 3824 592 svchost.exe 114 -
Views/modifies file attributes 1 TTPs 64 IoCs
pid Process 5388 attrib.exe 6412 attrib.exe 6388 attrib.exe 1268 attrib.exe 3864 attrib.exe 5672 attrib.exe 4116 attrib.exe 1868 attrib.exe 3016 attrib.exe 7436 attrib.exe 112 attrib.exe 5548 attrib.exe 6384 attrib.exe 6424 attrib.exe 5936 attrib.exe 5376 attrib.exe 5528 attrib.exe 1608 attrib.exe 3904 attrib.exe 5084 attrib.exe 5960 attrib.exe 3280 attrib.exe 5648 attrib.exe 5768 attrib.exe 6404 attrib.exe 6836 attrib.exe 1796 attrib.exe 6660 attrib.exe 5492 attrib.exe 1316 attrib.exe 1056 attrib.exe 4576 attrib.exe 2300 attrib.exe 6672 attrib.exe 5140 attrib.exe 4156 attrib.exe 6008 attrib.exe 5784 attrib.exe 5308 attrib.exe 3400 attrib.exe 5480 attrib.exe 6160 attrib.exe 2792 attrib.exe 1248 attrib.exe 4460 attrib.exe 2128 attrib.exe 2124 attrib.exe 5084 attrib.exe 2664 attrib.exe 4680 attrib.exe 4624 attrib.exe 5476 attrib.exe 4928 attrib.exe 6480 attrib.exe 5188 attrib.exe 5760 attrib.exe 3900 attrib.exe 4460 attrib.exe 6048 attrib.exe 6496 attrib.exe 6356 attrib.exe 7176 attrib.exe 2024 attrib.exe 5220 attrib.exe
Processes
-
C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe"C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe"1⤵
- Suspicious use of SetThreadContext
- Suspicious use of WriteProcessMemory
PID:5044 -
C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exeC:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe2⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Modifies registry class
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:1436 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe" +s +h3⤵
- Suspicious use of WriteProcessMemory
PID:4660 -
C:\Windows\SysWOW64\attrib.exeattrib "C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe" +s +h4⤵
- Sets file to hidden
PID:4884
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp" +s +h3⤵
- Suspicious use of WriteProcessMemory
PID:3768 -
C:\Windows\SysWOW64\attrib.exeattrib "C:\Users\Admin\AppData\Local\Temp" +s +h4⤵
- Sets file to hidden
- Views/modifies file attributes
PID:1248
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"3⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious use of WriteProcessMemory
PID:3504 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe4⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:4628 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h5⤵
- Suspicious use of WriteProcessMemory
PID:796 -
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h6⤵
- Sets file to hidden
- Views/modifies file attributes
PID:112
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h5⤵
- Suspicious use of WriteProcessMemory
PID:2976 -
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h6⤵
- Sets file to hidden
- Views/modifies file attributes
PID:1796
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"5⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious use of WriteProcessMemory
PID:1664 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe6⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Modifies registry class
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:592 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h7⤵
- Suspicious use of WriteProcessMemory
PID:3960 -
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h8⤵PID:4284
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h7⤵
- Suspicious use of WriteProcessMemory
PID:3496 -
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h8⤵PID:4384
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"7⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:3824 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe8⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Modifies registry class
PID:2148 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h9⤵PID:2608
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h10⤵
- Drops file in System32 directory
- Views/modifies file attributes
PID:2124
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h9⤵PID:1284
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h10⤵
- Sets file to hidden
PID:2832
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"9⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:3432 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe10⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Modifies registry class
PID:3584 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h11⤵PID:1080
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h12⤵
- Drops file in System32 directory
- Views/modifies file attributes
PID:4460
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h11⤵PID:2640
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h12⤵PID:2060
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"11⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:3600 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe12⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:4500 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h13⤵PID:4764
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h14⤵
- Sets file to hidden
- Views/modifies file attributes
PID:4576
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h13⤵PID:4464
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h14⤵
- Sets file to hidden
PID:3948
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"13⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1720 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe14⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Modifies registry class
PID:3604 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h15⤵PID:4920
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h16⤵
- Sets file to hidden
- Views/modifies file attributes
PID:1868
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h15⤵PID:3556
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h16⤵
- Sets file to hidden
- Drops file in System32 directory
- Views/modifies file attributes
PID:4928
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"15⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:3904 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe16⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Modifies registry class
PID:4140 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h17⤵PID:3352
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h18⤵
- Views/modifies file attributes
PID:1316
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h17⤵PID:1064
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h18⤵
- Sets file to hidden
- Views/modifies file attributes
PID:1268
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"17⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:3868 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe18⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:688 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h19⤵PID:208
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h20⤵PID:4020
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h19⤵PID:4780
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h20⤵
- Views/modifies file attributes
PID:4156
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"19⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2908 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe20⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:4748 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h21⤵PID:1124
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h22⤵
- Drops file in System32 directory
PID:2312
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h21⤵PID:1104
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h22⤵
- Sets file to hidden
PID:824
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"21⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:3964 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe22⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Modifies registry class
PID:3604 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h23⤵PID:4392
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h24⤵
- Views/modifies file attributes
PID:4624
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h23⤵PID:1892
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h24⤵
- Sets file to hidden
- Views/modifies file attributes
PID:4460
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"23⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2144 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe24⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:2812 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h25⤵PID:4468
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h26⤵
- Sets file to hidden
PID:1008
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h25⤵PID:4860
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h26⤵PID:2164
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"25⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:3600 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe26⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Modifies registry class
PID:4540 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h27⤵PID:368
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h28⤵
- Drops file in System32 directory
- Views/modifies file attributes
PID:3016
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h27⤵PID:5100
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h28⤵PID:320
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"27⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:5084 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe28⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Modifies registry class
PID:3552 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h29⤵PID:3776
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h30⤵
- Sets file to hidden
- Views/modifies file attributes
PID:1056
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h29⤵PID:2268
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h30⤵
- Sets file to hidden
- Views/modifies file attributes
PID:2128
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"29⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2076 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe30⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:1804 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h31⤵PID:4300
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h32⤵
- Sets file to hidden
- Views/modifies file attributes
PID:4116
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h31⤵PID:1824
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h32⤵
- Drops file in System32 directory
- Views/modifies file attributes
PID:5084
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"31⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2176 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe32⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:4060 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h33⤵PID:2540
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h34⤵
- Sets file to hidden
- Views/modifies file attributes
PID:2300
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h33⤵PID:2004
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h34⤵PID:4148
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"33⤵
- Executes dropped EXE
PID:2136 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe34⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:1724 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h35⤵PID:2932
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h36⤵PID:1248
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h35⤵PID:3028
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h36⤵
- Sets file to hidden
- Drops file in System32 directory
- Views/modifies file attributes
PID:5084
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"35⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:4156 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe36⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:4356 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h37⤵PID:1100
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h38⤵
- Sets file to hidden
- Views/modifies file attributes
PID:2664
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h37⤵PID:2176
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h38⤵
- Sets file to hidden
- Drops file in System32 directory
PID:4308
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"37⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:3260 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe38⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Modifies registry class
PID:4328 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h39⤵PID:4232
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h40⤵
- Sets file to hidden
PID:2192
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h39⤵PID:2316
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h40⤵
- Drops file in System32 directory
- Views/modifies file attributes
PID:2024
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"39⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:3260 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe40⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:3600 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h41⤵PID:3940
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h42⤵
- Sets file to hidden
- Drops file in System32 directory
PID:5124
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h41⤵PID:2428
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h42⤵
- Drops file in System32 directory
PID:5132
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"41⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:5160 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe42⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Modifies registry class
PID:5192 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h43⤵PID:5296
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h44⤵
- Sets file to hidden
- Views/modifies file attributes
PID:5376
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h43⤵PID:5312
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h44⤵
- Drops file in System32 directory
PID:5396
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"43⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:5416 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe44⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:5452 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h45⤵PID:5556
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h46⤵PID:5636
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h45⤵PID:5584
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h46⤵PID:5660
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"45⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:5688 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe46⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Modifies registry class
PID:5724 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h47⤵PID:5848
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h48⤵
- Sets file to hidden
- Views/modifies file attributes
PID:5936
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h47⤵PID:5856
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h48⤵
- Sets file to hidden
- Drops file in System32 directory
- Views/modifies file attributes
PID:5960
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"47⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:5976 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe48⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Modifies registry class
PID:6012 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h49⤵PID:6120
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h50⤵
- Sets file to hidden
PID:836
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h49⤵PID:6140
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h50⤵
- Sets file to hidden
- Drops file in System32 directory
- Views/modifies file attributes
PID:5188
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"49⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:5208 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe50⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:5180 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h51⤵PID:5424
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h52⤵
- Sets file to hidden
- Views/modifies file attributes
PID:5476
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h51⤵PID:5280
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h52⤵
- Views/modifies file attributes
PID:5492
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"51⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:5504 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe52⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:3204 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h53⤵PID:1352
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h54⤵
- Views/modifies file attributes
PID:5760
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h53⤵PID:3692
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h54⤵
- Views/modifies file attributes
PID:5528
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"53⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:5776 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe54⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:3328 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h55⤵PID:1708
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h56⤵
- Sets file to hidden
PID:5988
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h55⤵PID:3932
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h56⤵PID:6056
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"55⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:5832 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe56⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:6000 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h57⤵PID:6088
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h58⤵
- Sets file to hidden
- Views/modifies file attributes
PID:5308
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h57⤵PID:6104
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h58⤵
- Sets file to hidden
- Views/modifies file attributes
PID:4680
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"57⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:2628 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe58⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Modifies registry class
PID:556 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h59⤵PID:1760
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h60⤵PID:3688
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h59⤵PID:5512
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h60⤵
- Sets file to hidden
PID:5688
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"59⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:5704 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe60⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:3752 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h61⤵PID:5780
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h62⤵
- Drops file in System32 directory
- Views/modifies file attributes
PID:6048
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h61⤵PID:5788
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h62⤵
- Views/modifies file attributes
PID:5784
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"61⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:3152 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe62⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:1532 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h63⤵PID:2424
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h64⤵
- Sets file to hidden
PID:5204
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h63⤵PID:4132
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h64⤵
- Sets file to hidden
- Drops file in System32 directory
- Views/modifies file attributes
PID:1608
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"63⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:1268 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe64⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Modifies registry class
PID:2808 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h65⤵PID:6064
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h66⤵
- Views/modifies file attributes
PID:5220
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h65⤵PID:6000
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h66⤵
- Sets file to hidden
- Views/modifies file attributes
PID:3280
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"65⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:5552 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe66⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:5112 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h67⤵PID:632
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h68⤵
- Sets file to hidden
PID:5784
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h67⤵PID:1416
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h68⤵PID:2524
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"67⤵
- Suspicious use of SetThreadContext
PID:2340 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe68⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Modifies registry class
PID:5660 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h69⤵PID:4868
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h70⤵
- Sets file to hidden
PID:1528
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h69⤵PID:1608
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h70⤵
- Views/modifies file attributes
PID:3900
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"69⤵
- Suspicious use of SetThreadContext
PID:5360 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe70⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:1468 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h71⤵PID:1912
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h72⤵
- Sets file to hidden
PID:2488
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h71⤵PID:5172
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h72⤵
- Views/modifies file attributes
PID:5648
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"71⤵
- Suspicious use of SetThreadContext
PID:5704 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe72⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:5800 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h73⤵PID:1704
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h74⤵
- Views/modifies file attributes
PID:5768
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h73⤵PID:4972
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h74⤵
- Sets file to hidden
PID:5212
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"73⤵
- Suspicious use of SetThreadContext
PID:1200 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe74⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Modifies registry class
PID:4396 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h75⤵PID:2632
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h76⤵
- Sets file to hidden
- Views/modifies file attributes
PID:3400
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h75⤵PID:2616
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h76⤵
- Sets file to hidden
PID:4028
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"75⤵
- Suspicious use of SetThreadContext
PID:5220 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe76⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Modifies registry class
PID:5052 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h77⤵PID:3152
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h78⤵
- Views/modifies file attributes
PID:5480
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h77⤵PID:2236
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h78⤵
- Sets file to hidden
- Views/modifies file attributes
PID:3864
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"77⤵PID:5644
-
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe78⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Modifies registry class
PID:5836 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h79⤵PID:6068
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h80⤵PID:5540
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h79⤵
- Drops file in System32 directory
PID:5480 -
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h80⤵
- Views/modifies file attributes
PID:5548
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"79⤵
- Suspicious use of SetThreadContext
PID:1576 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe80⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Modifies registry class
PID:5220 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h81⤵
- Suspicious use of SetThreadContext
PID:5644 -
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h82⤵
- Sets file to hidden
- Drops file in System32 directory
- Views/modifies file attributes
PID:6160
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h81⤵PID:5408
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h82⤵PID:6152
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"81⤵
- Suspicious use of SetThreadContext
PID:6180 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe82⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Modifies registry class
PID:6200 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h83⤵PID:6312
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h84⤵
- Sets file to hidden
- Views/modifies file attributes
PID:6404
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h83⤵PID:6328
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h84⤵
- Sets file to hidden
PID:6412
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"83⤵
- Suspicious use of SetThreadContext
PID:6432 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe84⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Modifies registry class
PID:6460 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h85⤵PID:6568
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h86⤵
- Sets file to hidden
- Drops file in System32 directory
PID:6652
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h85⤵PID:6576
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h86⤵
- Views/modifies file attributes
PID:6672
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"85⤵
- Suspicious use of SetThreadContext
PID:6688 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe86⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:6756 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h87⤵PID:6852
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h88⤵
- Sets file to hidden
PID:6932
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h87⤵PID:6888
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h88⤵
- Sets file to hidden
PID:6956
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"87⤵
- Suspicious use of SetThreadContext
PID:6976 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe88⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Modifies registry class
PID:7012 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h89⤵PID:7144
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h90⤵
- Sets file to hidden
- Views/modifies file attributes
PID:5672
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h89⤵PID:7120
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h90⤵
- Views/modifies file attributes
PID:3904
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"89⤵
- Suspicious use of SetThreadContext
PID:6216 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe90⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Modifies registry class
PID:4680 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h91⤵PID:6404
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h92⤵
- Sets file to hidden
- Views/modifies file attributes
PID:6496
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h91⤵PID:1408
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h92⤵PID:6244
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"91⤵
- Suspicious use of SetThreadContext
PID:6512 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe92⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:6448 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h93⤵PID:6768
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h94⤵
- Sets file to hidden
- Drops file in System32 directory
- Views/modifies file attributes
PID:5388
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h93⤵PID:6696
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h94⤵PID:2636
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"93⤵
- Suspicious use of SetThreadContext
PID:3420 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe94⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:6864 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h95⤵PID:6848
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h96⤵
- Sets file to hidden
PID:7064
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h95⤵PID:7008
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h96⤵
- Sets file to hidden
- Drops file in System32 directory
PID:7056
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"95⤵
- Suspicious use of SetThreadContext
PID:2500 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe96⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:7132 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h97⤵PID:7096
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h98⤵
- Sets file to hidden
PID:6384
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h97⤵PID:7080
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h98⤵
- Sets file to hidden
- Views/modifies file attributes
PID:6480
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"97⤵
- Suspicious use of SetThreadContext
PID:6244 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe98⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:2304 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h99⤵PID:5104
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h100⤵
- Sets file to hidden
- Views/modifies file attributes
PID:6008
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h99⤵PID:6540
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h100⤵
- Sets file to hidden
PID:6792
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"99⤵
- Suspicious use of SetThreadContext
PID:1368 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe100⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Modifies registry class
PID:2128 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h101⤵PID:6504
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h102⤵PID:7068
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h101⤵PID:6448
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h102⤵
- Views/modifies file attributes
PID:6836
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"101⤵
- Suspicious use of SetThreadContext
PID:2420 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe102⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:6844 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h103⤵PID:4380
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h104⤵
- Sets file to hidden
- Views/modifies file attributes
PID:6384
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h103⤵PID:6136
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h104⤵PID:5996
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"103⤵
- Suspicious use of SetThreadContext
PID:5468 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe104⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:7084 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h105⤵PID:6668
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h106⤵
- Views/modifies file attributes
PID:6412
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h105⤵PID:6792
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h106⤵
- Sets file to hidden
PID:2792
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"105⤵
- Suspicious use of SetThreadContext
PID:5328 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe106⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Modifies registry class
PID:6180 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h107⤵PID:6008
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h108⤵
- Views/modifies file attributes
PID:6660
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h107⤵PID:5240
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h108⤵
- Drops file in System32 directory
- Views/modifies file attributes
PID:6424
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"107⤵
- Suspicious use of SetThreadContext
PID:7116 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe108⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Drops file in System32 directory
- Modifies registry class
PID:6680 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h109⤵PID:2868
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h110⤵
- Sets file to hidden
- Drops file in System32 directory
- Views/modifies file attributes
PID:6356
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h109⤵PID:732
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h110⤵
- Sets file to hidden
- Views/modifies file attributes
PID:2792
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"109⤵
- Suspicious use of SetThreadContext
PID:2408 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe110⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Modifies registry class
PID:3928 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h111⤵PID:4364
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h112⤵
- Sets file to hidden
- Drops file in System32 directory
- Views/modifies file attributes
PID:6388
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h111⤵PID:5524
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h112⤵PID:5568
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"111⤵
- Suspicious use of SetThreadContext
PID:2792 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe112⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Modifies registry class
PID:2332 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h113⤵PID:3280
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h114⤵
- Sets file to hidden
- Views/modifies file attributes
PID:5140
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h113⤵PID:6648
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h114⤵
- Sets file to hidden
- Views/modifies file attributes
PID:7176
-
-
-
C:\Windows\SysWOW64\System32\svchost.exe"C:\Windows\system32\System32\svchost.exe"113⤵
- Suspicious use of SetThreadContext
PID:7196 -
C:\Windows\SysWOW64\System32\svchost.exeC:\Windows\SysWOW64\System32\svchost.exe114⤵
- Modifies WinLogon for persistence
- Checks computer location settings
- Adds Run key to start application
- Drops file in System32 directory
PID:7228 -
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h115⤵PID:7324
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h116⤵PID:7412
-
-
-
C:\Windows\SysWOW64\cmd.exe"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h115⤵PID:7356
-
C:\Windows\SysWOW64\attrib.exeattrib "C:\Windows\SysWOW64\System32" +s +h116⤵
- Views/modifies file attributes
PID:7436
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
Network
MITRE ATT&CK Enterprise v15
Persistence
Boot or Logon Autostart Execution
2Registry Run Keys / Startup Folder
1Winlogon Helper DLL
1Privilege Escalation
Boot or Logon Autostart Execution
2Registry Run Keys / Startup Folder
1Winlogon Helper DLL
1Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
277KB
MD5a09880e53ebc8c020376de61d7a21efc
SHA102405fae61c1f50e16f95a954eb8d1e972a05aad
SHA25674168ffe0ac7ae5e91e3cffd8d1d0fbc096aae558812aee4af0b283867e8646a
SHA5125fb3b360d1c424a12ff4a7abeb32303508a89f1108a81a8a96a170aacd18310e868d3a1e558ef5b61e491c98e8cb317929d5e699c41840a1db06f27cb4a7f697
-
Filesize
64KB
MD5b481d31fea2d4a2d7db902cd931b0b66
SHA1d45f09a5349dbf3abdf1264311727280dc872fed
SHA2564a12b8b1e8d5983573bbe0a82719fa10f9bff695aea8a043012c123193c42224
SHA512c9326462d711f682263d115e94a709c565b302edf44d46dd9f56bd7c9d0fcbe132a346bc4790684fc823e71476b028f43bbc5e2e6963c0f8583ea453451fbac0