Analysis Overview
SHA256
74168ffe0ac7ae5e91e3cffd8d1d0fbc096aae558812aee4af0b283867e8646a
Threat Level: Known bad
The file a09880e53ebc8c020376de61d7a21efc was found to be: Known bad.
Malicious Activity Summary
Darkcomet
Modifies WinLogon for persistence
Sets file to hidden
Checks computer location settings
Loads dropped DLL
Executes dropped EXE
Adds Run key to start application
Suspicious use of SetThreadContext
Drops file in System32 directory
Unsigned PE
Enumerates physical storage devices
Suspicious use of WriteProcessMemory
Suspicious use of AdjustPrivilegeToken
Modifies registry class
Views/modifies file attributes
MITRE ATT&CK
Enterprise Matrix V15
Analysis: static1
Detonation Overview
Reported
2024-02-23 23:16
Signatures
Unsigned PE
| Description | Indicator | Process | Target |
| N/A | N/A | N/A | N/A |
Analysis: behavioral1
Detonation Overview
Submitted
2024-02-23 23:16
Reported
2024-02-23 23:18
Platform
win7-20240221-en
Max time kernel
146s
Max time network
125s
Command Line
Signatures
Darkcomet
Modifies WinLogon for persistence
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
Sets file to hidden
Executes dropped EXE
Loads dropped DLL
Adds Run key to start application
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2461186416-2307104501-1787948496-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
Drops file in System32 directory
| Description | Indicator | Process | Target |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\system32\conhost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
Suspicious use of SetThreadContext
Enumerates physical storage devices
Suspicious use of AdjustPrivilegeToken
Suspicious use of WriteProcessMemory
Views/modifies file attributes
Processes
C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
"C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe"
C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "21794103016675464145009920421145951967-890746049-248248989-18690273761848036419"
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
Network
Files
memory/2692-0-0x0000000000400000-0x000000000049F000-memory.dmp
memory/2692-1-0x0000000000930000-0x00000000009CF000-memory.dmp
memory/2692-2-0x00000000001D0000-0x00000000001D3000-memory.dmp
memory/3036-3-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/2692-5-0x0000000002030000-0x00000000020CF000-memory.dmp
memory/3036-6-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3036-8-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3036-10-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3036-11-0x000000007EFDE000-0x000000007EFDF000-memory.dmp
memory/2692-14-0x0000000000400000-0x000000000049F000-memory.dmp
memory/3036-15-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3036-16-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3036-18-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3036-19-0x00000000004C0000-0x000000000055F000-memory.dmp
memory/3036-20-0x00000000004C0000-0x000000000055F000-memory.dmp
memory/3036-21-0x00000000004C0000-0x000000000055F000-memory.dmp
memory/3036-22-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3036-25-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3036-26-0x0000000000260000-0x0000000000263000-memory.dmp
memory/3036-24-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3036-28-0x0000000000400000-0x00000000004B7000-memory.dmp
C:\Windows\SysWOW64\System32\svchost.exe
| MD5 | a09880e53ebc8c020376de61d7a21efc |
| SHA1 | 02405fae61c1f50e16f95a954eb8d1e972a05aad |
| SHA256 | 74168ffe0ac7ae5e91e3cffd8d1d0fbc096aae558812aee4af0b283867e8646a |
| SHA512 | 5fb3b360d1c424a12ff4a7abeb32303508a89f1108a81a8a96a170aacd18310e868d3a1e558ef5b61e491c98e8cb317929d5e699c41840a1db06f27cb4a7f697 |
memory/3036-36-0x0000000003AC0000-0x0000000003B5F000-memory.dmp
memory/2488-38-0x0000000000400000-0x000000000049F000-memory.dmp
memory/2488-44-0x0000000000240000-0x0000000000243000-memory.dmp
memory/2488-43-0x0000000000230000-0x00000000002CF000-memory.dmp
memory/2488-59-0x0000000000400000-0x000000000049F000-memory.dmp
memory/2488-61-0x0000000000230000-0x000000000023D000-memory.dmp
memory/3036-55-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/2360-66-0x0000000000340000-0x00000000003DF000-memory.dmp
memory/2360-68-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/2360-69-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/2360-71-0x0000000000260000-0x0000000000263000-memory.dmp
memory/1688-80-0x0000000000300000-0x000000000039F000-memory.dmp
memory/1688-81-0x0000000000240000-0x0000000000243000-memory.dmp
memory/2360-82-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/1688-96-0x0000000000400000-0x000000000049F000-memory.dmp
memory/1968-104-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/1968-103-0x0000000000920000-0x00000000009BF000-memory.dmp
memory/1968-106-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/1968-107-0x0000000000920000-0x00000000009BF000-memory.dmp
memory/1968-109-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/1968-111-0x0000000000200000-0x0000000000203000-memory.dmp
memory/1968-105-0x0000000000920000-0x00000000009BF000-memory.dmp
memory/1968-113-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/1968-98-0x0000000000400000-0x00000000004B7000-memory.dmp
\Windows\SysWOW64\System32\svchost.exe
| MD5 | 594a0681fc75aa705ccff5406a77b73a |
| SHA1 | b8c2012900e4c0323356b550bba90b5790f78fa7 |
| SHA256 | ba0553d895f0373b9bc00fe14631a050874d6d0b04443925223258c20f96cebb |
| SHA512 | 730519bd0f6b80f703d4ad668650cf36e364cffde4a2135b4b2a60af89cdfb4a398f73a525269fc78d7e59bdd19f28a8f0497c4b0a63189801a91da22f135359 |
memory/2216-119-0x0000000000400000-0x000000000049F000-memory.dmp
memory/2216-120-0x0000000000230000-0x00000000002CF000-memory.dmp
memory/2216-122-0x0000000000240000-0x0000000000243000-memory.dmp
memory/2216-121-0x0000000000230000-0x00000000002CF000-memory.dmp
memory/1968-123-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/2216-140-0x0000000000400000-0x000000000049F000-memory.dmp
memory/2276-147-0x0000000000230000-0x00000000002CF000-memory.dmp
memory/2276-148-0x0000000000230000-0x00000000002CF000-memory.dmp
memory/2276-149-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/2276-151-0x0000000000270000-0x0000000000273000-memory.dmp
memory/2276-153-0x0000000000400000-0x00000000004B7000-memory.dmp
\??\PIPE\srvsvc
| MD5 | d41d8cd98f00b204e9800998ecf8427e |
| SHA1 | da39a3ee5e6b4b0d3255bfef95601890afd80709 |
| SHA256 | e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 |
| SHA512 | cf83e1357eefb8bdf1542850d66d8007d620e4050b5715dc83f4a921d36ce9ce47d0d13c5d85f2b0ff8318d2877eec2f63b931bd47417a81a538327af927da3e |
memory/1264-162-0x0000000000400000-0x000000000049F000-memory.dmp
memory/1264-164-0x00000000002D0000-0x000000000036F000-memory.dmp
memory/1264-163-0x00000000002D0000-0x000000000036F000-memory.dmp
memory/1264-165-0x0000000000240000-0x0000000000243000-memory.dmp
memory/2276-168-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/1264-183-0x0000000000400000-0x000000000049F000-memory.dmp
memory/1556-188-0x0000000000230000-0x00000000002CF000-memory.dmp
memory/1556-190-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/1556-191-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/1556-193-0x00000000002A0000-0x00000000002A3000-memory.dmp
memory/2128-202-0x0000000000900000-0x000000000099F000-memory.dmp
memory/2128-203-0x0000000000900000-0x000000000099F000-memory.dmp
\Windows\SysWOW64\System32\svchost.exe
| MD5 | deb0014f877ea4489c0f6c5544fc0c38 |
| SHA1 | c1aafcd5f12698964e252f10157f32bf35e83736 |
| SHA256 | 242aa8659a54cab75bee694fea37005ed0fe9a28fa01cef1a9e5d1b3ff137378 |
| SHA512 | a88a3fa3a0d6570971e27f0128cb09bab359f16310115c4ff558d849c269ec3805032cc1588987ce27ed5982fb6e5acc560a37312f26e66e80a6398106887f88 |
C:\Windows\SysWOW64\System32\svchost.exe
| MD5 | 2fca9d0a35345e08687988178a1a3476 |
| SHA1 | 003e2e33a931caae4f02aa1ef1a32e266960a3a5 |
| SHA256 | 7d8a92aaf8b31d1034d165ba37edde7e7b914d01ef6c6384310ecfc78955b5b3 |
| SHA512 | 5426d455da639169dde24e441f48f9741dfee49d450f88a651c376f24bd8ee0d4fceb28e28ffa8be26fff2299dd9d3e93ed954757c4fa3c59569b6be628dce60 |
memory/2128-204-0x0000000000900000-0x000000000099F000-memory.dmp
memory/2128-205-0x00000000001D0000-0x00000000001D3000-memory.dmp
memory/1556-208-0x0000000000230000-0x0000000000233000-memory.dmp
memory/1556-209-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/2128-212-0x00000000009C0000-0x0000000000A5F000-memory.dmp
memory/2128-226-0x0000000000400000-0x000000000049F000-memory.dmp
memory/2752-232-0x0000000000230000-0x00000000002CF000-memory.dmp
memory/2752-233-0x0000000000230000-0x00000000002CF000-memory.dmp
memory/2752-235-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/2752-236-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/2752-238-0x0000000000270000-0x0000000000273000-memory.dmp
memory/2316-248-0x0000000000400000-0x000000000049F000-memory.dmp
memory/2316-249-0x00000000002C0000-0x00000000002C3000-memory.dmp
Analysis: behavioral2
Detonation Overview
Submitted
2024-02-23 23:16
Reported
2024-02-23 23:18
Platform
win10v2004-20240221-en
Max time kernel
150s
Max time network
153s
Command Line
Signatures
Darkcomet
Modifies WinLogon for persistence
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe,C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
Sets file to hidden
Checks computer location settings
| Description | Indicator | Process | Target |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key value queried | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\Control Panel\International\Geo\Nation | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
Executes dropped EXE
Adds Run key to start application
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-3054445511-921769590-4013668107-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\System32\\svchost.exe" | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
Drops file in System32 directory
| Description | Indicator | Process | Target |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\cmd.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32 | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\attrib.exe | N/A |
| File created | C:\Windows\SysWOW64\System32\svchost.exe | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
Suspicious use of SetThreadContext
Enumerates physical storage devices
Modifies registry class
| Description | Indicator | Process | Target |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\ | C:\Windows\SysWOW64\System32\svchost.exe | N/A |
Suspicious use of AdjustPrivilegeToken
Suspicious use of WriteProcessMemory
Views/modifies file attributes
Processes
C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
"C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe"
C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Users\Admin\AppData\Local\Temp\a09880e53ebc8c020376de61d7a21efc.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\System32\svchost.exe
"C:\Windows\system32\System32\svchost.exe"
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\System32\svchost.exe
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32\svchost.exe" +s +h
C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\System32" +s +h
Network
| Country | Destination | Domain | Proto |
| US | 8.8.8.8:53 | 68.32.126.40.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 241.154.82.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 0.205.248.87.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 88.156.103.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 41.110.16.96.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 157.123.68.40.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 198.187.3.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 114.134.221.88.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 180.178.17.96.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 48.229.111.52.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 123.10.44.20.in-addr.arpa | udp |
Files
memory/5044-0-0x0000000000400000-0x000000000049F000-memory.dmp
memory/5044-1-0x00000000001C0000-0x00000000001C3000-memory.dmp
memory/1436-3-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/1436-2-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/5044-6-0x0000000000400000-0x000000000049F000-memory.dmp
memory/1436-7-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/5044-8-0x00000000001C0000-0x00000000001C3000-memory.dmp
memory/1436-9-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/1436-10-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/1436-11-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/1436-12-0x0000000002220000-0x0000000002223000-memory.dmp
memory/1436-13-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/1436-15-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/1436-16-0x0000000002510000-0x0000000002511000-memory.dmp
C:\Windows\SysWOW64\System32\svchost.exe
| MD5 | a09880e53ebc8c020376de61d7a21efc |
| SHA1 | 02405fae61c1f50e16f95a954eb8d1e972a05aad |
| SHA256 | 74168ffe0ac7ae5e91e3cffd8d1d0fbc096aae558812aee4af0b283867e8646a |
| SHA512 | 5fb3b360d1c424a12ff4a7abeb32303508a89f1108a81a8a96a170aacd18310e868d3a1e558ef5b61e491c98e8cb317929d5e699c41840a1db06f27cb4a7f697 |
memory/3504-78-0x00000000001E0000-0x00000000001E3000-memory.dmp
memory/1436-79-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3504-85-0x0000000000400000-0x000000000049F000-memory.dmp
memory/3504-87-0x00000000001E0000-0x00000000001E3000-memory.dmp
memory/4628-88-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/4628-90-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/4628-91-0x0000000002430000-0x0000000002433000-memory.dmp
memory/4628-92-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/4628-89-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/4628-94-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/4628-95-0x00000000025C0000-0x00000000025C1000-memory.dmp
memory/4628-97-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/1664-103-0x0000000000400000-0x000000000049F000-memory.dmp
memory/592-105-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/592-106-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/592-108-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/592-109-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/592-107-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/592-111-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3824-113-0x0000000000400000-0x000000000049F000-memory.dmp
memory/3824-114-0x00000000001E0000-0x00000000001E3000-memory.dmp
memory/592-115-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3824-122-0x0000000000400000-0x000000000049F000-memory.dmp
memory/3432-129-0x0000000000400000-0x000000000049F000-memory.dmp
memory/2148-130-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3432-136-0x0000000000400000-0x000000000049F000-memory.dmp
memory/3584-138-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3584-139-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3584-142-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3584-141-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3584-144-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3584-146-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3600-152-0x0000000000400000-0x000000000049F000-memory.dmp
memory/4500-158-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/4500-156-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/4500-160-0x0000000000C90000-0x0000000000C93000-memory.dmp
memory/4500-162-0x00000000025C0000-0x00000000025C1000-memory.dmp
memory/4500-166-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/1720-174-0x0000000000400000-0x000000000049F000-memory.dmp
memory/3604-182-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3904-190-0x0000000000400000-0x000000000049F000-memory.dmp
memory/4140-192-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/4140-194-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/4140-200-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/688-209-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3868-208-0x0000000000400000-0x000000000049F000-memory.dmp
memory/2908-215-0x00000000001E0000-0x00000000001E3000-memory.dmp
memory/688-219-0x0000000000400000-0x00000000004B7000-memory.dmp
C:\Windows\SysWOW64\System32\svchost.exe
| MD5 | b481d31fea2d4a2d7db902cd931b0b66 |
| SHA1 | d45f09a5349dbf3abdf1264311727280dc872fed |
| SHA256 | 4a12b8b1e8d5983573bbe0a82719fa10f9bff695aea8a043012c123193c42224 |
| SHA512 | c9326462d711f682263d115e94a709c565b302edf44d46dd9f56bd7c9d0fcbe132a346bc4790684fc823e71476b028f43bbc5e2e6963c0f8583ea453451fbac0 |
memory/2908-226-0x0000000000400000-0x000000000049F000-memory.dmp
memory/4748-234-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3964-242-0x0000000000400000-0x000000000049F000-memory.dmp
memory/3604-243-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3604-251-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/2144-258-0x0000000000400000-0x000000000049F000-memory.dmp
memory/2812-260-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/2812-261-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3600-267-0x0000000000400000-0x000000000049F000-memory.dmp
memory/3600-268-0x00000000001E0000-0x00000000001E3000-memory.dmp
memory/2812-271-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3600-279-0x0000000000400000-0x000000000049F000-memory.dmp
memory/5084-285-0x0000000000400000-0x000000000049F000-memory.dmp
memory/4540-288-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/5084-295-0x0000000000400000-0x000000000049F000-memory.dmp
memory/3552-297-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3552-305-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/2076-313-0x0000000000400000-0x000000000049F000-memory.dmp
memory/1804-321-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/2176-329-0x0000000000400000-0x000000000049F000-memory.dmp
memory/2136-335-0x0000000000400000-0x000000000049F000-memory.dmp
memory/2136-338-0x0000000000400000-0x000000000049F000-memory.dmp
memory/4060-345-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/1724-349-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/4156-357-0x0000000000400000-0x000000000049F000-memory.dmp
memory/4356-358-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/4356-359-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/4356-367-0x0000000000400000-0x00000000004B7000-memory.dmp
memory/3260-374-0x0000000000400000-0x000000000049F000-memory.dmp
memory/4328-383-0x0000000000400000-0x00000000004B7000-memory.dmp