Malware Analysis Report

2025-04-13 23:18

Sample ID 240223-289lksbd46
Target a09880e53ebc8c020376de61d7a21efc
SHA256 74168ffe0ac7ae5e91e3cffd8d1d0fbc096aae558812aee4af0b283867e8646a
Tags
darkcomet bac evasion persistence rat trojan
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V15

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

74168ffe0ac7ae5e91e3cffd8d1d0fbc096aae558812aee4af0b283867e8646a

Threat Level: Known bad

The file a09880e53ebc8c020376de61d7a21efc was found to be: Known bad.

Malicious Activity Summary

darkcomet bac evasion persistence rat trojan

Darkcomet

Modifies WinLogon for persistence

Sets file to hidden

Checks computer location settings

Loads dropped DLL

Executes dropped EXE

Adds Run key to start application

Suspicious use of SetThreadContext

Drops file in System32 directory

Unsigned PE

Enumerates physical storage devices

Suspicious use of WriteProcessMemory

Suspicious use of AdjustPrivilegeToken

Modifies registry class

Views/modifies file attributes

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2024-02-23 23:16

Signatures

Unsigned PE

Description Indicator Process Target
N/A N/A N/A N/A

Analysis: behavioral1

Detonation Overview

Submitted

2024-02-23 23:16

Reported

2024-02-23 23:18

Platform

win7-20240221-en

Max time kernel

146s

Max time network

125s

Command Line

"C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe"

Signatures

Darkcomet

trojan rat darkcomet

Modifies WinLogon for persistence

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A

Sets file to hidden

evasion
Description Indicator Process Target
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A

Loads dropped DLL

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A

Adds Run key to start application

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A

Drops file in System32 directory

Description Indicator Process Target
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\system32\conhost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A

Suspicious use of SetThreadContext

Description Indicator Process Target
PID 2692 set thread context of 3036 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 2488 set thread context of 2360 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1688 set thread context of 1968 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2216 set thread context of 2276 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1264 set thread context of 1556 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2128 set thread context of 2752 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2316 set thread context of 3008 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2040 set thread context of 2232 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1776 set thread context of 2208 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2888 set thread context of 1940 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2876 set thread context of 1020 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 940 set thread context of 2336 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2604 set thread context of 1488 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2780 set thread context of 3016 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 696 set thread context of 1188 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1576 set thread context of 1752 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1624 set thread context of 1896 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1604 set thread context of 1152 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 696 set thread context of 2000 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2532 set thread context of 2564 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1960 set thread context of 1712 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2988 set thread context of 2420 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1716 set thread context of 2364 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1796 set thread context of 2196 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2376 set thread context of 2520 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1532 set thread context of 1836 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2296 set thread context of 2320 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1972 set thread context of 1264 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1464 set thread context of 2584 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2356 set thread context of 1892 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1336 set thread context of 364 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1464 set thread context of 2984 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1596 set thread context of 2896 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1532 set thread context of 1148 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1972 set thread context of 988 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1708 set thread context of 2420 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2760 set thread context of 3100 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3308 set thread context of 3360 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3576 set thread context of 3624 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3828 set thread context of 3876 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 4088 set thread context of 3096 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3224 set thread context of 3376 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3612 set thread context of 3476 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3892 set thread context of 3928 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3132 set thread context of 1504 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3464 set thread context of 3660 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3740 set thread context of 3828 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1604 set thread context of 3996 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3620 set thread context of 3496 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 4064 set thread context of 4084 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3568 set thread context of 3592 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3804 set thread context of 3152 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3452 set thread context of 3216 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3496 set thread context of 3932 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3088 set thread context of 3736 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe

Enumerates physical storage devices

Suspicious use of AdjustPrivilegeToken

Description Indicator Process Target
Token: SeIncreaseQuotaPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeSecurityPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeTakeOwnershipPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeLoadDriverPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeSystemProfilePrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeSystemtimePrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeProfSingleProcessPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeIncBasePriorityPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeCreatePagefilePrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeBackupPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeRestorePrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeShutdownPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeDebugPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeSystemEnvironmentPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeChangeNotifyPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeRemoteShutdownPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeUndockPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeManageVolumePrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeImpersonatePrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeCreateGlobalPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: 33 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: 34 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: 35 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeRestorePrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeBackupPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeIncreaseQuotaPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeSecurityPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeTakeOwnershipPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeLoadDriverPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeSystemProfilePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeSystemtimePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeProfSingleProcessPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeIncBasePriorityPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeCreatePagefilePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeBackupPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeRestorePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeShutdownPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeSystemEnvironmentPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeChangeNotifyPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeRemoteShutdownPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeUndockPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeManageVolumePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeImpersonatePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeCreateGlobalPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: 33 N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: 34 N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: 35 N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeRestorePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeBackupPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeIncreaseQuotaPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeSecurityPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeTakeOwnershipPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeLoadDriverPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeSystemProfilePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeSystemtimePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeProfSingleProcessPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeIncBasePriorityPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeCreatePagefilePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeBackupPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeRestorePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeShutdownPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeSystemEnvironmentPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 2692 wrote to memory of 3036 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 2692 wrote to memory of 3036 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 2692 wrote to memory of 3036 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 2692 wrote to memory of 3036 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 2692 wrote to memory of 3036 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 2692 wrote to memory of 3036 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 2692 wrote to memory of 3036 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 2692 wrote to memory of 3036 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 2692 wrote to memory of 3036 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 2692 wrote to memory of 3036 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 2692 wrote to memory of 3036 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 3036 wrote to memory of 2496 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 3036 wrote to memory of 2496 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 3036 wrote to memory of 2496 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 3036 wrote to memory of 2496 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 3036 wrote to memory of 2496 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 3036 wrote to memory of 2496 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 3036 wrote to memory of 2496 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 3036 wrote to memory of 2916 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 3036 wrote to memory of 2916 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 3036 wrote to memory of 2916 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 3036 wrote to memory of 2916 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 3036 wrote to memory of 2916 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 3036 wrote to memory of 2916 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 3036 wrote to memory of 2916 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 2496 wrote to memory of 2672 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 2496 wrote to memory of 2672 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 2496 wrote to memory of 2672 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 2496 wrote to memory of 2672 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 2496 wrote to memory of 2672 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 2496 wrote to memory of 2672 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 2496 wrote to memory of 2672 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 2916 wrote to memory of 2356 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 2916 wrote to memory of 2356 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 2916 wrote to memory of 2356 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 2916 wrote to memory of 2356 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 2916 wrote to memory of 2356 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 2916 wrote to memory of 2356 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 2916 wrote to memory of 2356 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 3036 wrote to memory of 2488 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3036 wrote to memory of 2488 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3036 wrote to memory of 2488 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3036 wrote to memory of 2488 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3036 wrote to memory of 2488 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3036 wrote to memory of 2488 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3036 wrote to memory of 2488 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2488 wrote to memory of 2360 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2488 wrote to memory of 2360 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2488 wrote to memory of 2360 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2488 wrote to memory of 2360 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2488 wrote to memory of 2360 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2488 wrote to memory of 2360 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2488 wrote to memory of 2360 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2488 wrote to memory of 2360 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2488 wrote to memory of 2360 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2488 wrote to memory of 2360 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2488 wrote to memory of 2360 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2360 wrote to memory of 520 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe
PID 2360 wrote to memory of 520 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe
PID 2360 wrote to memory of 520 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe
PID 2360 wrote to memory of 520 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe
PID 2360 wrote to memory of 520 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe
PID 2360 wrote to memory of 520 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe
PID 2360 wrote to memory of 520 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe

Views/modifies file attributes

evasion
Description Indicator Process Target
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A

Processes

C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe

"C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe"

C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe

C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Users\Admin\AppData\Local\Temp" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\system32\conhost.exe

\??\C:\Windows\system32\conhost.exe "21794103016675464145009920421145951967-890746049-248248989-18690273761848036419"

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

Network

N/A

Files

memory/2692-0-0x0000000000400000-0x000000000049F000-memory.dmp

memory/2692-1-0x0000000000930000-0x00000000009CF000-memory.dmp

memory/2692-2-0x00000000001D0000-0x00000000001D3000-memory.dmp

memory/3036-3-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/2692-5-0x0000000002030000-0x00000000020CF000-memory.dmp

memory/3036-6-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3036-8-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3036-10-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3036-11-0x000000007EFDE000-0x000000007EFDF000-memory.dmp

memory/2692-14-0x0000000000400000-0x000000000049F000-memory.dmp

memory/3036-15-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3036-16-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3036-18-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3036-19-0x00000000004C0000-0x000000000055F000-memory.dmp

memory/3036-20-0x00000000004C0000-0x000000000055F000-memory.dmp

memory/3036-21-0x00000000004C0000-0x000000000055F000-memory.dmp

memory/3036-22-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3036-25-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3036-26-0x0000000000260000-0x0000000000263000-memory.dmp

memory/3036-24-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3036-28-0x0000000000400000-0x00000000004B7000-memory.dmp

C:\Windows\SysWOW64\System32\svchost.exe

MD5 a09880e53ebc8c020376de61d7a21efc
SHA1 02405fae61c1f50e16f95a954eb8d1e972a05aad
SHA256 74168ffe0ac7ae5e91e3cffd8d1d0fbc096aae558812aee4af0b283867e8646a
SHA512 5fb3b360d1c424a12ff4a7abeb32303508a89f1108a81a8a96a170aacd18310e868d3a1e558ef5b61e491c98e8cb317929d5e699c41840a1db06f27cb4a7f697

memory/3036-36-0x0000000003AC0000-0x0000000003B5F000-memory.dmp

memory/2488-38-0x0000000000400000-0x000000000049F000-memory.dmp

memory/2488-44-0x0000000000240000-0x0000000000243000-memory.dmp

memory/2488-43-0x0000000000230000-0x00000000002CF000-memory.dmp

memory/2488-59-0x0000000000400000-0x000000000049F000-memory.dmp

memory/2488-61-0x0000000000230000-0x000000000023D000-memory.dmp

memory/3036-55-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/2360-66-0x0000000000340000-0x00000000003DF000-memory.dmp

memory/2360-68-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/2360-69-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/2360-71-0x0000000000260000-0x0000000000263000-memory.dmp

memory/1688-80-0x0000000000300000-0x000000000039F000-memory.dmp

memory/1688-81-0x0000000000240000-0x0000000000243000-memory.dmp

memory/2360-82-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/1688-96-0x0000000000400000-0x000000000049F000-memory.dmp

memory/1968-104-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/1968-103-0x0000000000920000-0x00000000009BF000-memory.dmp

memory/1968-106-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/1968-107-0x0000000000920000-0x00000000009BF000-memory.dmp

memory/1968-109-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/1968-111-0x0000000000200000-0x0000000000203000-memory.dmp

memory/1968-105-0x0000000000920000-0x00000000009BF000-memory.dmp

memory/1968-113-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/1968-98-0x0000000000400000-0x00000000004B7000-memory.dmp

\Windows\SysWOW64\System32\svchost.exe

MD5 594a0681fc75aa705ccff5406a77b73a
SHA1 b8c2012900e4c0323356b550bba90b5790f78fa7
SHA256 ba0553d895f0373b9bc00fe14631a050874d6d0b04443925223258c20f96cebb
SHA512 730519bd0f6b80f703d4ad668650cf36e364cffde4a2135b4b2a60af89cdfb4a398f73a525269fc78d7e59bdd19f28a8f0497c4b0a63189801a91da22f135359

memory/2216-119-0x0000000000400000-0x000000000049F000-memory.dmp

memory/2216-120-0x0000000000230000-0x00000000002CF000-memory.dmp

memory/2216-122-0x0000000000240000-0x0000000000243000-memory.dmp

memory/2216-121-0x0000000000230000-0x00000000002CF000-memory.dmp

memory/1968-123-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/2216-140-0x0000000000400000-0x000000000049F000-memory.dmp

memory/2276-147-0x0000000000230000-0x00000000002CF000-memory.dmp

memory/2276-148-0x0000000000230000-0x00000000002CF000-memory.dmp

memory/2276-149-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/2276-151-0x0000000000270000-0x0000000000273000-memory.dmp

memory/2276-153-0x0000000000400000-0x00000000004B7000-memory.dmp

\??\PIPE\srvsvc

MD5 d41d8cd98f00b204e9800998ecf8427e
SHA1 da39a3ee5e6b4b0d3255bfef95601890afd80709
SHA256 e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
SHA512 cf83e1357eefb8bdf1542850d66d8007d620e4050b5715dc83f4a921d36ce9ce47d0d13c5d85f2b0ff8318d2877eec2f63b931bd47417a81a538327af927da3e

memory/1264-162-0x0000000000400000-0x000000000049F000-memory.dmp

memory/1264-164-0x00000000002D0000-0x000000000036F000-memory.dmp

memory/1264-163-0x00000000002D0000-0x000000000036F000-memory.dmp

memory/1264-165-0x0000000000240000-0x0000000000243000-memory.dmp

memory/2276-168-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/1264-183-0x0000000000400000-0x000000000049F000-memory.dmp

memory/1556-188-0x0000000000230000-0x00000000002CF000-memory.dmp

memory/1556-190-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/1556-191-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/1556-193-0x00000000002A0000-0x00000000002A3000-memory.dmp

memory/2128-202-0x0000000000900000-0x000000000099F000-memory.dmp

memory/2128-203-0x0000000000900000-0x000000000099F000-memory.dmp

\Windows\SysWOW64\System32\svchost.exe

MD5 deb0014f877ea4489c0f6c5544fc0c38
SHA1 c1aafcd5f12698964e252f10157f32bf35e83736
SHA256 242aa8659a54cab75bee694fea37005ed0fe9a28fa01cef1a9e5d1b3ff137378
SHA512 a88a3fa3a0d6570971e27f0128cb09bab359f16310115c4ff558d849c269ec3805032cc1588987ce27ed5982fb6e5acc560a37312f26e66e80a6398106887f88

C:\Windows\SysWOW64\System32\svchost.exe

MD5 2fca9d0a35345e08687988178a1a3476
SHA1 003e2e33a931caae4f02aa1ef1a32e266960a3a5
SHA256 7d8a92aaf8b31d1034d165ba37edde7e7b914d01ef6c6384310ecfc78955b5b3
SHA512 5426d455da639169dde24e441f48f9741dfee49d450f88a651c376f24bd8ee0d4fceb28e28ffa8be26fff2299dd9d3e93ed954757c4fa3c59569b6be628dce60

memory/2128-204-0x0000000000900000-0x000000000099F000-memory.dmp

memory/2128-205-0x00000000001D0000-0x00000000001D3000-memory.dmp

memory/1556-208-0x0000000000230000-0x0000000000233000-memory.dmp

memory/1556-209-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/2128-212-0x00000000009C0000-0x0000000000A5F000-memory.dmp

memory/2128-226-0x0000000000400000-0x000000000049F000-memory.dmp

memory/2752-232-0x0000000000230000-0x00000000002CF000-memory.dmp

memory/2752-233-0x0000000000230000-0x00000000002CF000-memory.dmp

memory/2752-235-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/2752-236-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/2752-238-0x0000000000270000-0x0000000000273000-memory.dmp

memory/2316-248-0x0000000000400000-0x000000000049F000-memory.dmp

memory/2316-249-0x00000000002C0000-0x00000000002C3000-memory.dmp

Analysis: behavioral2

Detonation Overview

Submitted

2024-02-23 23:16

Reported

2024-02-23 23:18

Platform

win10v2004-20240221-en

Max time kernel

150s

Max time network

153s

Command Line

"C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe"

Signatures

Darkcomet

trojan rat darkcomet

Modifies WinLogon for persistence

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A

Sets file to hidden

evasion
Description Indicator Process Target
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A

Checks computer location settings

Description Indicator Process Target
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A
Key value queried \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation C:\Windows\SysWOW64\System32\svchost.exe N/A

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
N/A N/A C:\Windows\SysWOW64\System32\svchost.exe N/A

Adds Run key to start application

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" C:\Windows\SysWOW64\System32\svchost.exe N/A

Drops file in System32 directory

Description Indicator Process Target
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32 C:\Windows\SysWOW64\attrib.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\ C:\Windows\SysWOW64\System32\svchost.exe N/A
File opened for modification C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\attrib.exe N/A
File created C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe N/A

Suspicious use of SetThreadContext

Description Indicator Process Target
PID 5044 set thread context of 1436 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 3504 set thread context of 4628 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1664 set thread context of 592 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3824 set thread context of 2148 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3432 set thread context of 3584 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3600 set thread context of 4500 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1720 set thread context of 3604 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3904 set thread context of 4140 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3868 set thread context of 688 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2908 set thread context of 4748 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3964 set thread context of 3604 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2144 set thread context of 2812 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3600 set thread context of 4540 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 5084 set thread context of 3552 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2076 set thread context of 1804 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2176 set thread context of 4060 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 4156 set thread context of 4356 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3260 set thread context of 4328 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3260 set thread context of 3600 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 5160 set thread context of 5192 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 5416 set thread context of 5452 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 5688 set thread context of 5724 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 5976 set thread context of 6012 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 5208 set thread context of 5180 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 5504 set thread context of 3204 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 5776 set thread context of 3328 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 5832 set thread context of 6000 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2628 set thread context of 556 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 5704 set thread context of 3752 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3152 set thread context of 1532 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1268 set thread context of 2808 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 5552 set thread context of 5112 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2340 set thread context of 5660 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 5360 set thread context of 1468 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 5704 set thread context of 5800 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1200 set thread context of 4396 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 5220 set thread context of 5052 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 5644 set thread context of 5836 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1576 set thread context of 5220 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 6180 set thread context of 6200 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 6432 set thread context of 6460 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 6688 set thread context of 6756 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 6976 set thread context of 7012 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 6216 set thread context of 4680 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 6512 set thread context of 6448 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3420 set thread context of 6864 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2500 set thread context of 7132 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 6244 set thread context of 2304 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1368 set thread context of 2128 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2420 set thread context of 6844 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 5468 set thread context of 7084 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 5328 set thread context of 6180 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 7116 set thread context of 6680 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2408 set thread context of 3928 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 2792 set thread context of 2332 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 7196 set thread context of 7228 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe

Enumerates physical storage devices

Modifies registry class

Description Indicator Process Target
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A
Key created \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ C:\Windows\SysWOW64\System32\svchost.exe N/A

Suspicious use of AdjustPrivilegeToken

Description Indicator Process Target
Token: SeIncreaseQuotaPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeSecurityPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeTakeOwnershipPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeLoadDriverPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeSystemProfilePrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeSystemtimePrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeProfSingleProcessPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeIncBasePriorityPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeCreatePagefilePrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeBackupPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeRestorePrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeShutdownPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeDebugPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeSystemEnvironmentPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeChangeNotifyPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeRemoteShutdownPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeUndockPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeManageVolumePrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeImpersonatePrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeCreateGlobalPrivilege N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: 33 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: 34 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: 35 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: 36 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe N/A
Token: SeIncreaseQuotaPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeSecurityPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeTakeOwnershipPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeLoadDriverPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeSystemProfilePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeSystemtimePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeProfSingleProcessPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeIncBasePriorityPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeCreatePagefilePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeBackupPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeRestorePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeShutdownPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeSystemEnvironmentPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeChangeNotifyPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeRemoteShutdownPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeUndockPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeManageVolumePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeImpersonatePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeCreateGlobalPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: 33 N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: 34 N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: 35 N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: 36 N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeIncreaseQuotaPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeSecurityPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeTakeOwnershipPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeLoadDriverPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeSystemProfilePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeSystemtimePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeProfSingleProcessPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeIncBasePriorityPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeCreatePagefilePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeBackupPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeRestorePrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeShutdownPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeSystemEnvironmentPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeChangeNotifyPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A
Token: SeRemoteShutdownPrivilege N/A C:\Windows\SysWOW64\System32\svchost.exe N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 5044 wrote to memory of 1436 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 5044 wrote to memory of 1436 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 5044 wrote to memory of 1436 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 5044 wrote to memory of 1436 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 5044 wrote to memory of 1436 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 5044 wrote to memory of 1436 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 5044 wrote to memory of 1436 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
PID 1436 wrote to memory of 4660 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 1436 wrote to memory of 4660 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 1436 wrote to memory of 4660 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 1436 wrote to memory of 3768 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 1436 wrote to memory of 3768 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 1436 wrote to memory of 3768 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\cmd.exe
PID 4660 wrote to memory of 4884 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 4660 wrote to memory of 4884 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 4660 wrote to memory of 4884 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 3768 wrote to memory of 1248 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 3768 wrote to memory of 1248 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 3768 wrote to memory of 1248 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 1436 wrote to memory of 3504 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1436 wrote to memory of 3504 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1436 wrote to memory of 3504 N/A C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3504 wrote to memory of 4628 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3504 wrote to memory of 4628 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3504 wrote to memory of 4628 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3504 wrote to memory of 4628 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3504 wrote to memory of 4628 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3504 wrote to memory of 4628 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 3504 wrote to memory of 4628 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 4628 wrote to memory of 796 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe
PID 4628 wrote to memory of 796 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe
PID 4628 wrote to memory of 796 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe
PID 4628 wrote to memory of 2976 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe
PID 4628 wrote to memory of 2976 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe
PID 4628 wrote to memory of 2976 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe
PID 796 wrote to memory of 112 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 796 wrote to memory of 112 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 796 wrote to memory of 112 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 2976 wrote to memory of 1796 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 2976 wrote to memory of 1796 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 2976 wrote to memory of 1796 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 4628 wrote to memory of 1664 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 4628 wrote to memory of 1664 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 4628 wrote to memory of 1664 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1664 wrote to memory of 592 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1664 wrote to memory of 592 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1664 wrote to memory of 592 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1664 wrote to memory of 592 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1664 wrote to memory of 592 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1664 wrote to memory of 592 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 1664 wrote to memory of 592 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe
PID 592 wrote to memory of 3960 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe
PID 592 wrote to memory of 3960 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe
PID 592 wrote to memory of 3960 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe
PID 592 wrote to memory of 3496 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe
PID 592 wrote to memory of 3496 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe
PID 592 wrote to memory of 3496 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\cmd.exe
PID 3960 wrote to memory of 4284 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 3960 wrote to memory of 4284 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 3960 wrote to memory of 4284 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 3496 wrote to memory of 4384 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 3496 wrote to memory of 4384 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 3496 wrote to memory of 4384 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\attrib.exe
PID 592 wrote to memory of 3824 N/A C:\Windows\SysWOW64\System32\svchost.exe C:\Windows\SysWOW64\System32\svchost.exe

Views/modifies file attributes

evasion
Description Indicator Process Target
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A
N/A N/A C:\Windows\SysWOW64\attrib.exe N/A

Processes

C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe

"C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe"

C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe

C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Users\Admin\AppData\Local\Temp" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\System32\svchost.exe

"C:\Windows\system32\System32\svchost.exe"

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\System32\svchost.exe

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\cmd.exe

"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h

C:\Windows\SysWOW64\attrib.exe

attrib "C:\Windows\SysWOW64\System32" +s +h

Network

Country Destination Domain Proto
US 8.8.8.8:53 68.32.126.40.in-addr.arpa udp
US 8.8.8.8:53 241.154.82.20.in-addr.arpa udp
US 8.8.8.8:53 0.205.248.87.in-addr.arpa udp
US 8.8.8.8:53 88.156.103.20.in-addr.arpa udp
US 8.8.8.8:53 41.110.16.96.in-addr.arpa udp
US 8.8.8.8:53 157.123.68.40.in-addr.arpa udp
US 8.8.8.8:53 198.187.3.20.in-addr.arpa udp
US 8.8.8.8:53 114.134.221.88.in-addr.arpa udp
US 8.8.8.8:53 180.178.17.96.in-addr.arpa udp
US 8.8.8.8:53 48.229.111.52.in-addr.arpa udp
US 8.8.8.8:53 123.10.44.20.in-addr.arpa udp

Files

memory/5044-0-0x0000000000400000-0x000000000049F000-memory.dmp

memory/5044-1-0x00000000001C0000-0x00000000001C3000-memory.dmp

memory/1436-3-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/1436-2-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/5044-6-0x0000000000400000-0x000000000049F000-memory.dmp

memory/1436-7-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/5044-8-0x00000000001C0000-0x00000000001C3000-memory.dmp

memory/1436-9-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/1436-10-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/1436-11-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/1436-12-0x0000000002220000-0x0000000002223000-memory.dmp

memory/1436-13-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/1436-15-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/1436-16-0x0000000002510000-0x0000000002511000-memory.dmp

C:\Windows\SysWOW64\System32\svchost.exe

MD5 a09880e53ebc8c020376de61d7a21efc
SHA1 02405fae61c1f50e16f95a954eb8d1e972a05aad
SHA256 74168ffe0ac7ae5e91e3cffd8d1d0fbc096aae558812aee4af0b283867e8646a
SHA512 5fb3b360d1c424a12ff4a7abeb32303508a89f1108a81a8a96a170aacd18310e868d3a1e558ef5b61e491c98e8cb317929d5e699c41840a1db06f27cb4a7f697

memory/3504-78-0x00000000001E0000-0x00000000001E3000-memory.dmp

memory/1436-79-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3504-85-0x0000000000400000-0x000000000049F000-memory.dmp

memory/3504-87-0x00000000001E0000-0x00000000001E3000-memory.dmp

memory/4628-88-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/4628-90-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/4628-91-0x0000000002430000-0x0000000002433000-memory.dmp

memory/4628-92-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/4628-89-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/4628-94-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/4628-95-0x00000000025C0000-0x00000000025C1000-memory.dmp

memory/4628-97-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/1664-103-0x0000000000400000-0x000000000049F000-memory.dmp

memory/592-105-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/592-106-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/592-108-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/592-109-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/592-107-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/592-111-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3824-113-0x0000000000400000-0x000000000049F000-memory.dmp

memory/3824-114-0x00000000001E0000-0x00000000001E3000-memory.dmp

memory/592-115-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3824-122-0x0000000000400000-0x000000000049F000-memory.dmp

memory/3432-129-0x0000000000400000-0x000000000049F000-memory.dmp

memory/2148-130-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3432-136-0x0000000000400000-0x000000000049F000-memory.dmp

memory/3584-138-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3584-139-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3584-142-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3584-141-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3584-144-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3584-146-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3600-152-0x0000000000400000-0x000000000049F000-memory.dmp

memory/4500-158-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/4500-156-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/4500-160-0x0000000000C90000-0x0000000000C93000-memory.dmp

memory/4500-162-0x00000000025C0000-0x00000000025C1000-memory.dmp

memory/4500-166-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/1720-174-0x0000000000400000-0x000000000049F000-memory.dmp

memory/3604-182-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3904-190-0x0000000000400000-0x000000000049F000-memory.dmp

memory/4140-192-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/4140-194-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/4140-200-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/688-209-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3868-208-0x0000000000400000-0x000000000049F000-memory.dmp

memory/2908-215-0x00000000001E0000-0x00000000001E3000-memory.dmp

memory/688-219-0x0000000000400000-0x00000000004B7000-memory.dmp

C:\Windows\SysWOW64\System32\svchost.exe

MD5 b481d31fea2d4a2d7db902cd931b0b66
SHA1 d45f09a5349dbf3abdf1264311727280dc872fed
SHA256 4a12b8b1e8d5983573bbe0a82719fa10f9bff695aea8a043012c123193c42224
SHA512 c9326462d711f682263d115e94a709c565b302edf44d46dd9f56bd7c9d0fcbe132a346bc4790684fc823e71476b028f43bbc5e2e6963c0f8583ea453451fbac0

memory/2908-226-0x0000000000400000-0x000000000049F000-memory.dmp

memory/4748-234-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3964-242-0x0000000000400000-0x000000000049F000-memory.dmp

memory/3604-243-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3604-251-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/2144-258-0x0000000000400000-0x000000000049F000-memory.dmp

memory/2812-260-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/2812-261-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3600-267-0x0000000000400000-0x000000000049F000-memory.dmp

memory/3600-268-0x00000000001E0000-0x00000000001E3000-memory.dmp

memory/2812-271-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3600-279-0x0000000000400000-0x000000000049F000-memory.dmp

memory/5084-285-0x0000000000400000-0x000000000049F000-memory.dmp

memory/4540-288-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/5084-295-0x0000000000400000-0x000000000049F000-memory.dmp

memory/3552-297-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3552-305-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/2076-313-0x0000000000400000-0x000000000049F000-memory.dmp

memory/1804-321-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/2176-329-0x0000000000400000-0x000000000049F000-memory.dmp

memory/2136-335-0x0000000000400000-0x000000000049F000-memory.dmp

memory/2136-338-0x0000000000400000-0x000000000049F000-memory.dmp

memory/4060-345-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/1724-349-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/4156-357-0x0000000000400000-0x000000000049F000-memory.dmp

memory/4356-358-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/4356-359-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/4356-367-0x0000000000400000-0x00000000004B7000-memory.dmp

memory/3260-374-0x0000000000400000-0x000000000049F000-memory.dmp

memory/4328-383-0x0000000000400000-0x00000000004B7000-memory.dmp