darkcomet | 5769bc6ab4c2807a8598c7be0688b179ca35c5669c6515aaebbc24e1645401fb

Analysis

max time kernel
133s
max time network
96s
platform
windows10-2004_x64
resource
win10v2004-20240709-en
resource tags

arch:x64arch:x86image:win10v2004-20240709-enlocale:en-usos:windows10-2004-x64system
submitted
15/07/2024, 15:42

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Size

815KB
MD5

4a510760b3a91e79e03f1ab8e08241f3
SHA1

69b47067648844910f28869ccf29a2614dde0f35
SHA256

5769bc6ab4c2807a8598c7be0688b179ca35c5669c6515aaebbc24e1645401fb
SHA512

e97be1b589a5356f18d9cd4181b2fd111790c801ac0f93c5b30bfb6a284bfbcdb195e849d2eb169767e45898cb3858ce7502082dee269ea476fff52de20c2ef0
SSDEEP

12288:vR6b7MP+Dd2GRdJtBQffYUk5/iC+5XT2hZuKnkToadOwQah1t2c/EChutll:vw7MP+h2GRrOp26C+5D2GHEadDv1hutn

Score

10^/10

darkcomet targets evasion persistence rat trojan

Malware Config

Extracted

Family

darkcomet

Botnet

TARGETS

darkjordan.zapto.org:99

Mutex

DC_MUTEX-1ZRUFQQ

Attributes

InstallPath
MSDCSC\msdcsc.exe
gencode
rMiPZDUM3Js4
install
true
offline_keylogger
true
password
1983
persistence
false
reg_key
MicroUpdate

Signatures

Darkcomet
DarkComet is a remote access trojan (RAT) developed by Jean-Pierre Lesueur.
trojan rat darkcomet

Modifies WinLogon for persistence 2 TTPs 64 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe,C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe

Sets file to hidden 1 TTPs 64 IoCs

Modifies file attributes to stop it showing in Explorer etc.

evasion

Hidden Files and Directories

T1564.001

pid	Process
6196	attrib.exe
5612	attrib.exe
5816	attrib.exe
6212	attrib.exe
8484	attrib.exe
5248	attrib.exe
10892	attrib.exe
2844	attrib.exe
2700	attrib.exe
9212	attrib.exe
8876	attrib.exe
11020	attrib.exe
4360	attrib.exe
7844	attrib.exe
2640	attrib.exe
6656	attrib.exe
9352	attrib.exe
6048	attrib.exe
2984	attrib.exe
4412	attrib.exe
10236	attrib.exe
6616	attrib.exe
8616	attrib.exe
7284	attrib.exe
8276	attrib.exe
7980	attrib.exe
9248	attrib.exe
1948	attrib.exe
948	attrib.exe
5176	attrib.exe
9168	attrib.exe
8608	attrib.exe
10144	attrib.exe
6200	attrib.exe
8160	attrib.exe
5404	attrib.exe
5676	attrib.exe
5540	attrib.exe
6652	attrib.exe
7016	attrib.exe
1212	attrib.exe
9628	attrib.exe
3196	attrib.exe
1932	attrib.exe
3268	attrib.exe
5188	attrib.exe
4452	attrib.exe
7212	attrib.exe
6200	attrib.exe
5172	attrib.exe
9276	attrib.exe
9264	attrib.exe
5672	attrib.exe
3544	attrib.exe
5892	attrib.exe
9260	attrib.exe
1844	attrib.exe
8920	attrib.exe
8484	attrib.exe
2640	attrib.exe
7964	attrib.exe
6512	attrib.exe
9888	attrib.exe
2248	attrib.exe

Checks computer location settings 2 TTPs 64 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe
Key value queried	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\Control Panel\International\Geo\Nation	msdcsc.exe

Deletes itself 1 IoCs

pid	Process
4760	notepad.exe

Executes dropped EXE 64 IoCs

pid	Process
4800	msdcsc.exe
4348	msdcsc.exe
2200	msdcsc.exe
1968	msdcsc.exe
4420	msdcsc.exe
4404	msdcsc.exe
4376	msdcsc.exe
632	msdcsc.exe
2232	msdcsc.exe
4796	msdcsc.exe
368	msdcsc.exe
1828	msdcsc.exe
2556	msdcsc.exe
3408	msdcsc.exe
4420	msdcsc.exe
4380	msdcsc.exe
3344	msdcsc.exe
1848	msdcsc.exe
4452	msdcsc.exe
368	msdcsc.exe
2936	msdcsc.exe
4908	msdcsc.exe
2876	msdcsc.exe
4832	msdcsc.exe
2220	msdcsc.exe
2232	msdcsc.exe
4760	msdcsc.exe
4120	msdcsc.exe
3680	msdcsc.exe
2652	msdcsc.exe
1628	msdcsc.exe
2876	msdcsc.exe
3384	msdcsc.exe
1012	msdcsc.exe
2956	msdcsc.exe
3668	msdcsc.exe
1320	msdcsc.exe
1840	msdcsc.exe
4412	msdcsc.exe
5240	msdcsc.exe
5420	msdcsc.exe
5548	msdcsc.exe
5728	msdcsc.exe
5852	msdcsc.exe
6008	msdcsc.exe
3664	msdcsc.exe
3688	msdcsc.exe
5256	msdcsc.exe
5604	msdcsc.exe
5780	msdcsc.exe
6128	msdcsc.exe
2248	msdcsc.exe
3688	msdcsc.exe
5480	msdcsc.exe
5880	msdcsc.exe
5220	msdcsc.exe
5512	msdcsc.exe
5864	msdcsc.exe
5268	msdcsc.exe
5760	msdcsc.exe
5660	msdcsc.exe
5884	msdcsc.exe
6220	msdcsc.exe
6368	msdcsc.exe

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2990742725-2267136959-192470804-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\MSDCSC\\rMiPZDUM3Js4\\rMiPZDUM3Js4\\msdcsc.exe"	msdcsc.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\msdcsc.exe	msdcsc.exe
File created	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File created	C:\Windows\SysWOW64\MSDCSC\msdcsc.exe	msdcsc.exe
File created	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\msdcsc.exe	msdcsc.exe
File created	C:\Windows\SysWOW64\MSDCSC\msdcsc.exe	msdcsc.exe
File created	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC	attrib.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\msdcsc.exe	attrib.exe
File created	C:\Windows\SysWOW64\MSDCSC\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC	attrib.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\	msdcsc.exe
File created	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4	attrib.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4	attrib.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\	msdcsc.exe
File created	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\msdcsc.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\msdcsc.exe	msdcsc.exe
File created	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe	attrib.exe
File created	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\	msdcsc.exe
File created	C:\Windows\SysWOW64\MSDCSC\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC	attrib.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC	attrib.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4	attrib.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\msdcsc.exe	msdcsc.exe
File created	C:\Windows\SysWOW64\MSDCSC\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\msdcsc.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\	msdcsc.exe
File created	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe	msdcsc.exe

Suspicious use of SetThreadContext 64 IoCs

description	pid	Process	procid_target
PID 4304 set thread context of 2632	4304	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	86
PID 4800 set thread context of 4348	4800	msdcsc.exe	95
PID 2200 set thread context of 1968	2200	msdcsc.exe	104
PID 4420 set thread context of 4404	4420	msdcsc.exe	113
PID 4376 set thread context of 632	4376	msdcsc.exe	122
PID 2232 set thread context of 4796	2232	msdcsc.exe	131
PID 368 set thread context of 1828	368	msdcsc.exe	140
PID 2556 set thread context of 3408	2556	msdcsc.exe	149
PID 4420 set thread context of 4380	4420	msdcsc.exe	158
PID 3344 set thread context of 1848	3344	msdcsc.exe	167
PID 4452 set thread context of 368	4452	msdcsc.exe	176
PID 2936 set thread context of 4908	2936	msdcsc.exe	185
PID 2876 set thread context of 4832	2876	msdcsc.exe	194
PID 2220 set thread context of 2232	2220	msdcsc.exe	203
PID 4760 set thread context of 4120	4760	msdcsc.exe	212
PID 3680 set thread context of 2652	3680	msdcsc.exe	221
PID 1628 set thread context of 2876	1628	msdcsc.exe	230
PID 3384 set thread context of 1012	3384	msdcsc.exe	239
PID 2956 set thread context of 3668	2956	msdcsc.exe	248
PID 1320 set thread context of 1840	1320	msdcsc.exe	257
PID 4412 set thread context of 5240	4412	msdcsc.exe	266
PID 5420 set thread context of 5548	5420	msdcsc.exe	275
PID 5728 set thread context of 5852	5728	msdcsc.exe	284
PID 6008 set thread context of 3664	6008	msdcsc.exe	293
PID 3688 set thread context of 5256	3688	msdcsc.exe	302
PID 5604 set thread context of 5780	5604	msdcsc.exe	311
PID 6128 set thread context of 2248	6128	msdcsc.exe	320
PID 3688 set thread context of 5480	3688	msdcsc.exe	329
PID 5880 set thread context of 5220	5880	msdcsc.exe	338
PID 5512 set thread context of 5864	5512	msdcsc.exe	347
PID 5268 set thread context of 5760	5268	msdcsc.exe	356
PID 5660 set thread context of 5884	5660	msdcsc.exe	366
PID 6220 set thread context of 6368	6220	msdcsc.exe	376
PID 6528 set thread context of 6676	6528	msdcsc.exe	385
PID 6864 set thread context of 6984	6864	msdcsc.exe	394
PID 7140 set thread context of 6292	7140	msdcsc.exe	403
PID 6572 set thread context of 3060	6572	msdcsc.exe	412
PID 6948 set thread context of 6884	6948	msdcsc.exe	421
PID 5492 set thread context of 6252	5492	msdcsc.exe	430
PID 6604 set thread context of 6528	6604	msdcsc.exe	439
PID 7136 set thread context of 7016	7136	msdcsc.exe	448
PID 6748 set thread context of 5512	6748	msdcsc.exe	457
PID 3252 set thread context of 6568	3252	msdcsc.exe	466
PID 6164 set thread context of 6516	6164	msdcsc.exe	475
PID 6612 set thread context of 1140	6612	msdcsc.exe	484
PID 3252 set thread context of 4400	3252	msdcsc.exe	493
PID 7180 set thread context of 7380	7180	msdcsc.exe	503
PID 7556 set thread context of 7696	7556	msdcsc.exe	512
PID 7872 set thread context of 7988	7872	msdcsc.exe	521
PID 8188 set thread context of 7224	8188	msdcsc.exe	530
PID 7528 set thread context of 7604	7528	msdcsc.exe	539
PID 7800 set thread context of 8172	7800	msdcsc.exe	548
PID 7244 set thread context of 7640	7244	msdcsc.exe	557
PID 7900 set thread context of 7716	7900	msdcsc.exe	566
PID 7340 set thread context of 7548	7340	msdcsc.exe	575
PID 7916 set thread context of 5684	7916	msdcsc.exe	584
PID 7520 set thread context of 7332	7520	msdcsc.exe	593
PID 1844 set thread context of 7628	1844	msdcsc.exe	602
PID 8000 set thread context of 7440	8000	msdcsc.exe	611
PID 7996 set thread context of 7876	7996	msdcsc.exe	620
PID 8256 set thread context of 8352	8256	msdcsc.exe	629
PID 8528 set thread context of 8640	8528	msdcsc.exe	638
PID 8828 set thread context of 8932	8828	msdcsc.exe	647
PID 9128 set thread context of 8252	9128	msdcsc.exe	656

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Program crash 1 IoCs

pid	pid_target	Process	procid_target
4508	8896	WerFault.exe	768

Modifies registry class 64 IoCs

description	ioc	Process
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\	msdcsc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\.key	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\.key\ = "regfile"	msdcsc.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeIncreaseQuotaPrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeSecurityPrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeTakeOwnershipPrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeLoadDriverPrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeSystemProfilePrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeSystemtimePrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeProfSingleProcessPrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeIncBasePriorityPrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeCreatePagefilePrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeBackupPrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeRestorePrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeShutdownPrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeDebugPrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeSystemEnvironmentPrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeChangeNotifyPrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeRemoteShutdownPrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeUndockPrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeManageVolumePrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeImpersonatePrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeCreateGlobalPrivilege	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: 33	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: 34	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: 35	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: 36	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
Token: SeIncreaseQuotaPrivilege	4348	msdcsc.exe
Token: SeSecurityPrivilege	4348	msdcsc.exe
Token: SeTakeOwnershipPrivilege	4348	msdcsc.exe
Token: SeLoadDriverPrivilege	4348	msdcsc.exe
Token: SeSystemProfilePrivilege	4348	msdcsc.exe
Token: SeSystemtimePrivilege	4348	msdcsc.exe
Token: SeProfSingleProcessPrivilege	4348	msdcsc.exe
Token: SeIncBasePriorityPrivilege	4348	msdcsc.exe
Token: SeCreatePagefilePrivilege	4348	msdcsc.exe
Token: SeBackupPrivilege	4348	msdcsc.exe
Token: SeRestorePrivilege	4348	msdcsc.exe
Token: SeShutdownPrivilege	4348	msdcsc.exe
Token: SeDebugPrivilege	4348	msdcsc.exe
Token: SeSystemEnvironmentPrivilege	4348	msdcsc.exe
Token: SeChangeNotifyPrivilege	4348	msdcsc.exe
Token: SeRemoteShutdownPrivilege	4348	msdcsc.exe
Token: SeUndockPrivilege	4348	msdcsc.exe
Token: SeManageVolumePrivilege	4348	msdcsc.exe
Token: SeImpersonatePrivilege	4348	msdcsc.exe
Token: SeCreateGlobalPrivilege	4348	msdcsc.exe
Token: 33	4348	msdcsc.exe
Token: 34	4348	msdcsc.exe
Token: 35	4348	msdcsc.exe
Token: 36	4348	msdcsc.exe
Token: SeIncreaseQuotaPrivilege	1968	msdcsc.exe
Token: SeSecurityPrivilege	1968	msdcsc.exe
Token: SeTakeOwnershipPrivilege	1968	msdcsc.exe
Token: SeLoadDriverPrivilege	1968	msdcsc.exe
Token: SeSystemProfilePrivilege	1968	msdcsc.exe
Token: SeSystemtimePrivilege	1968	msdcsc.exe
Token: SeProfSingleProcessPrivilege	1968	msdcsc.exe
Token: SeIncBasePriorityPrivilege	1968	msdcsc.exe
Token: SeCreatePagefilePrivilege	1968	msdcsc.exe
Token: SeBackupPrivilege	1968	msdcsc.exe
Token: SeRestorePrivilege	1968	msdcsc.exe
Token: SeShutdownPrivilege	1968	msdcsc.exe
Token: SeDebugPrivilege	1968	msdcsc.exe
Token: SeSystemEnvironmentPrivilege	1968	msdcsc.exe
Token: SeChangeNotifyPrivilege	1968	msdcsc.exe
Token: SeRemoteShutdownPrivilege	1968	msdcsc.exe

Suspicious use of SetWindowsHookEx 64 IoCs

pid	Process
4304	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
4800	msdcsc.exe
2200	msdcsc.exe
4420	msdcsc.exe
4376	msdcsc.exe
2232	msdcsc.exe
368	msdcsc.exe
2556	msdcsc.exe
4420	msdcsc.exe
3344	msdcsc.exe
4452	msdcsc.exe
2936	msdcsc.exe
2876	msdcsc.exe
2220	msdcsc.exe
4760	msdcsc.exe
3680	msdcsc.exe
1628	msdcsc.exe
3384	msdcsc.exe
2956	msdcsc.exe
1320	msdcsc.exe
4412	msdcsc.exe
5420	msdcsc.exe
5728	msdcsc.exe
6008	msdcsc.exe
3688	msdcsc.exe
5604	msdcsc.exe
6128	msdcsc.exe
3688	msdcsc.exe
5880	msdcsc.exe
5512	msdcsc.exe
5268	msdcsc.exe
5660	msdcsc.exe
6220	msdcsc.exe
6528	msdcsc.exe
6864	msdcsc.exe
7140	msdcsc.exe
6572	msdcsc.exe
6948	msdcsc.exe
5492	msdcsc.exe
6604	msdcsc.exe
7136	msdcsc.exe
6748	msdcsc.exe
3252	msdcsc.exe
6164	msdcsc.exe
6612	msdcsc.exe
3252	msdcsc.exe
7180	msdcsc.exe
7556	msdcsc.exe
7872	msdcsc.exe
8188	msdcsc.exe
7528	msdcsc.exe
7800	msdcsc.exe
7244	msdcsc.exe
7900	msdcsc.exe
7340	msdcsc.exe
7916	msdcsc.exe
7520	msdcsc.exe
1844	msdcsc.exe
8000	msdcsc.exe
7996	msdcsc.exe
8256	msdcsc.exe
8528	msdcsc.exe
8828	msdcsc.exe
9128	msdcsc.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4304 wrote to memory of 2632	4304	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	86
PID 4304 wrote to memory of 2632	4304	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	86
PID 4304 wrote to memory of 2632	4304	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	86
PID 4304 wrote to memory of 2632	4304	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	86
PID 4304 wrote to memory of 2632	4304	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	86
PID 4304 wrote to memory of 2632	4304	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	86
PID 4304 wrote to memory of 2632	4304	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	86
PID 4304 wrote to memory of 2632	4304	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	86
PID 4304 wrote to memory of 2632	4304	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	86
PID 4304 wrote to memory of 2632	4304	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	86
PID 4304 wrote to memory of 2632	4304	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	86
PID 4304 wrote to memory of 2632	4304	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	86
PID 4304 wrote to memory of 2632	4304	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	86
PID 4304 wrote to memory of 2632	4304	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	86
PID 2632 wrote to memory of 4840	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	87
PID 2632 wrote to memory of 4840	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	87
PID 2632 wrote to memory of 4840	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	87
PID 2632 wrote to memory of 1580	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	89
PID 2632 wrote to memory of 1580	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	89
PID 2632 wrote to memory of 1580	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	89
PID 2632 wrote to memory of 4760	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	90
PID 2632 wrote to memory of 4760	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	90
PID 2632 wrote to memory of 4760	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	90
PID 2632 wrote to memory of 4760	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	90
PID 2632 wrote to memory of 4760	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	90
PID 2632 wrote to memory of 4760	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	90
PID 2632 wrote to memory of 4760	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	90
PID 2632 wrote to memory of 4760	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	90
PID 2632 wrote to memory of 4760	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	90
PID 2632 wrote to memory of 4760	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	90
PID 2632 wrote to memory of 4760	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	90
PID 2632 wrote to memory of 4760	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	90
PID 2632 wrote to memory of 4760	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	90
PID 2632 wrote to memory of 4760	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	90
PID 2632 wrote to memory of 4760	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	90
PID 2632 wrote to memory of 4760	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	90
PID 2632 wrote to memory of 4760	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	90
PID 2632 wrote to memory of 4800	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	92
PID 2632 wrote to memory of 4800	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	92
PID 2632 wrote to memory of 4800	2632	4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe	92
PID 4840 wrote to memory of 2956	4840	cmd.exe	93
PID 4840 wrote to memory of 2956	4840	cmd.exe	93
PID 4840 wrote to memory of 2956	4840	cmd.exe	93
PID 1580 wrote to memory of 2844	1580	cmd.exe	94
PID 1580 wrote to memory of 2844	1580	cmd.exe	94
PID 1580 wrote to memory of 2844	1580	cmd.exe	94
PID 4800 wrote to memory of 4348	4800	msdcsc.exe	95
PID 4800 wrote to memory of 4348	4800	msdcsc.exe	95
PID 4800 wrote to memory of 4348	4800	msdcsc.exe	95
PID 4800 wrote to memory of 4348	4800	msdcsc.exe	95
PID 4800 wrote to memory of 4348	4800	msdcsc.exe	95
PID 4800 wrote to memory of 4348	4800	msdcsc.exe	95
PID 4800 wrote to memory of 4348	4800	msdcsc.exe	95
PID 4800 wrote to memory of 4348	4800	msdcsc.exe	95
PID 4800 wrote to memory of 4348	4800	msdcsc.exe	95
PID 4800 wrote to memory of 4348	4800	msdcsc.exe	95
PID 4800 wrote to memory of 4348	4800	msdcsc.exe	95
PID 4800 wrote to memory of 4348	4800	msdcsc.exe	95
PID 4800 wrote to memory of 4348	4800	msdcsc.exe	95
PID 4800 wrote to memory of 4348	4800	msdcsc.exe	95
PID 4348 wrote to memory of 4372	4348	msdcsc.exe	96
PID 4348 wrote to memory of 4372	4348	msdcsc.exe	96
PID 4348 wrote to memory of 4372	4348	msdcsc.exe	96
PID 4348 wrote to memory of 4296	4348	msdcsc.exe	98

Views/modifies file attributes 1 TTPs 64 IoCs

evasion

Hidden Files and Directories

T1564.001

pid	Process
7964	attrib.exe
6344	attrib.exe
6964	attrib.exe
6168	attrib.exe
8276	attrib.exe
3984	attrib.exe
5032	attrib.exe
3212	attrib.exe
2844	attrib.exe
6112	attrib.exe
6212	attrib.exe
10236	attrib.exe
5176	attrib.exe
6652	attrib.exe
5788	attrib.exe
6060	attrib.exe
8484	attrib.exe
2432	attrib.exe
7004	attrib.exe
4704	attrib.exe
5832	attrib.exe
9872	attrib.exe
10000	attrib.exe
1700	attrib.exe
3196	attrib.exe
7564	attrib.exe
5612	attrib.exe
3276	attrib.exe
2984	attrib.exe
9880	attrib.exe
6612	attrib.exe
10700	attrib.exe
2356	attrib.exe
4844	attrib.exe
8880	attrib.exe
9248	attrib.exe
7564	attrib.exe
5540	attrib.exe
7664	attrib.exe
7620	attrib.exe
9184	attrib.exe
2304	attrib.exe
11152	attrib.exe
3472	attrib.exe
5260	attrib.exe
8972	attrib.exe
9812	attrib.exe
8616	attrib.exe
3264	attrib.exe
8912	attrib.exe
9348	attrib.exe
10012	attrib.exe
5540	attrib.exe
6944	attrib.exe
4504	attrib.exe
10220	attrib.exe
1948	attrib.exe
10312	attrib.exe
5484	attrib.exe
8616	attrib.exe
8408	attrib.exe
8304	attrib.exe
5816	attrib.exe
6628	attrib.exe

C:\Users\Admin\AppData\Local\Temp\4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe"
1⤵
- Suspicious use of SetThreadContext
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:4304
- C:\Users\Admin\AppData\Local\Temp\4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe
  2⤵
  - Modifies WinLogon for persistence
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:2632
- - C:\Windows\SysWOW64\cmd.exe
    "C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp\4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe" +s +h
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:4840
  - - C:\Windows\SysWOW64\attrib.exe
      attrib "C:\Users\Admin\AppData\Local\Temp\4a510760b3a91e79e03f1ab8e08241f3_JaffaCakes118.exe" +s +h
      4⤵
      PID:2956
- - C:\Windows\SysWOW64\cmd.exe
    "C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:1580
  - - C:\Windows\SysWOW64\attrib.exe
      attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
      4⤵
      Sets file to hidden
      Views/modifies file attributes
      PID:2844
- - C:\Windows\SysWOW64\notepad.exe
    notepad
    3⤵
    - Deletes itself
    PID:4760
- - C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
    "C:\Windows\system32\MSDCSC\msdcsc.exe"
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetThreadContext
    - Modifies registry class
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:4800
  - - C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
      4⤵
      Checks computer location settings
      Executes dropped EXE
      Adds Run key to start application
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:4348
    - - C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        5⤵
        
        PID:4372
      - C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        6⤵
        
        PID:3128
    - - C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        5⤵
        
        PID:4296
      - C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        6⤵
        
        PID:2256
    - - C:\Windows\SysWOW64\notepad.exe
        
        notepad
        5⤵
        
        PID:4568
    - - C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        5⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:2200
      - C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        6⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:1968
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        7⤵
        
        PID:2544
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        8⤵
        
        PID:3740
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        7⤵
        
        PID:2420
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        8⤵
        Sets file to hidden
        
        PID:3268
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        7⤵
        
        PID:928
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        7⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:4420
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        8⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:4404
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        9⤵
        
        PID:332
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        10⤵
        Sets file to hidden
        
        PID:2700
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        9⤵
        
        PID:4652
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        10⤵
        
        PID:1224
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        9⤵
        
        PID:4912
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        9⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:4376
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        10⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        
        PID:632
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        11⤵
        
        PID:2912
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        12⤵
        Sets file to hidden
        
        PID:4360
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        11⤵
        
        PID:1652
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        12⤵
        Sets file to hidden
        
        PID:948
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        11⤵
        
        PID:1676
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        11⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:2232
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        12⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:4796
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        13⤵
        
        PID:924
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        14⤵
        
        PID:388
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        13⤵
        
        PID:1380
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        14⤵
        Views/modifies file attributes
        
        PID:3472
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        13⤵
        
        PID:2052
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        13⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:368
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        14⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:1828
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        15⤵
        
        PID:5064
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        16⤵
        
        PID:4432
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        15⤵
        
        PID:4920
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        16⤵
        Sets file to hidden
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:2984
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        15⤵
        
        PID:1616
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        15⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:2556
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        16⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:3408
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        17⤵
        
        PID:1624
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        18⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:3196
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        17⤵
        
        PID:3740
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        18⤵
        
        PID:4960
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        17⤵
        
        PID:808
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        17⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:4420
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        18⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        
        PID:4380
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        19⤵
        
        PID:1532
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        20⤵
        
        PID:1260
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        19⤵
        
        PID:4376
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        20⤵
        Views/modifies file attributes
        
        PID:5032
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        19⤵
        
        PID:1096
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        19⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:3344
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        20⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        
        PID:1848
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        21⤵
        
        PID:1548
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        22⤵
        Sets file to hidden
        Drops file in System32 directory
        
        PID:1932
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        21⤵
        
        PID:5028
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        22⤵
        
        PID:2144
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        21⤵
        
        PID:4836
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        21⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:4452
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        22⤵
        Checks computer location settings
        Executes dropped EXE
        
        PID:368
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        23⤵
        
        PID:2256
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        24⤵
        
        PID:2348
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        23⤵
        
        PID:220
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        24⤵
        
        PID:3152
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        23⤵
        
        PID:116
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        23⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:2936
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        24⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        
        PID:4908
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        25⤵
        
        PID:556
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        26⤵
        Drops file in System32 directory
        
        PID:2248
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        25⤵
        
        PID:4512
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        26⤵
        Sets file to hidden
        
        PID:3544
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        25⤵
        
        PID:1200
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        25⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:2876
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        26⤵
        Checks computer location settings
        Executes dropped EXE
        
        PID:4832
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        27⤵
        
        PID:1496
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        28⤵
        Views/modifies file attributes
        
        PID:3264
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        27⤵
        
        PID:3200
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        28⤵
        Views/modifies file attributes
        
        PID:4704
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        27⤵
        
        PID:4104
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        27⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:2220
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        28⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        
        PID:2232
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        29⤵
        
        PID:4340
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        30⤵
        
        PID:1628
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        29⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        30⤵
        Drops file in System32 directory
        
        PID:3196
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        29⤵
        
        PID:752
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        29⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:4760
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        30⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        
        PID:4120
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        31⤵
        
        PID:4948
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        32⤵
        Sets file to hidden
        
        PID:4452
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        31⤵
        
        PID:1200
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        32⤵
        
        PID:2640
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        31⤵
        
        PID:4876
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        31⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:3680
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        32⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:2652
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        33⤵
        
        PID:3152
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        34⤵
        Views/modifies file attributes
        
        PID:2356
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        33⤵
        
        PID:4416
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        34⤵
        Sets file to hidden
        
        PID:2248
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        33⤵
        
        PID:2460
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        33⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:1628
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        34⤵
        Executes dropped EXE
        
        PID:2876
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        35⤵
        
        PID:1224
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        36⤵
        
        PID:2140
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        35⤵
        
        PID:4452
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        36⤵
        
        PID:4104
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        35⤵
        
        PID:4032
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        35⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:3384
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        36⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1012
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        37⤵
        
        PID:3904
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        38⤵
        
        PID:2140
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        37⤵
        
        PID:860
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        38⤵
        Sets file to hidden
        
        PID:2640
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        37⤵
        
        PID:5032
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        37⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:2956
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        38⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        
        PID:3668
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        39⤵
        
        PID:876
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        40⤵
        Sets file to hidden
        
        PID:4412
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        39⤵
        
        PID:2356
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        40⤵
        
        PID:4684
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        39⤵
        
        PID:2460
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        39⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:1320
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        40⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        
        PID:1840
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        41⤵
        
        PID:2460
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        42⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:5176
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        41⤵
        
        PID:2956
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        42⤵
        
        PID:5220
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        41⤵
        
        PID:3304
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        41⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:4412
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        42⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        
        PID:5240
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        43⤵
        
        PID:5316
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        44⤵
        
        PID:5488
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        43⤵
        
        PID:5332
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        44⤵
        
        PID:5528
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        43⤵
        
        PID:5344
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        43⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:5420
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        44⤵
        Checks computer location settings
        Executes dropped EXE
        
        PID:5548
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        45⤵
        
        PID:5620
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        46⤵
        
        PID:5816
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        45⤵
        
        PID:5636
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        46⤵
        
        PID:5832
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        45⤵
        
        PID:5648
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        45⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:5728
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        46⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        
        PID:5852
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        47⤵
        
        PID:5920
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        48⤵
        Views/modifies file attributes
        
        PID:6112
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        47⤵
        
        PID:5928
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        48⤵
        
        PID:6124
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        47⤵
        
        PID:5944
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        47⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:6008
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        48⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:3664
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        49⤵
        
        PID:5124
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        50⤵
        Sets file to hidden
        
        PID:5404
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        49⤵
        
        PID:5132
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        50⤵
        
        PID:5260
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        49⤵
        
        PID:5224
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        49⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:3688
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        50⤵
        Checks computer location settings
        Executes dropped EXE
        
        PID:5256
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        51⤵
        
        PID:5416
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        52⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:5816
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        51⤵
        
        PID:5556
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        52⤵
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:5832
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        51⤵
        
        PID:5424
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        51⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:5604
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        52⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        
        PID:5780
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        53⤵
        
        PID:5980
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        54⤵
        Views/modifies file attributes
        
        PID:6060
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        53⤵
        
        PID:6020
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        54⤵
        Sets file to hidden
        
        PID:2640
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        53⤵
        
        PID:5904
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        53⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:6128
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        54⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2248
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        55⤵
        
        PID:5284
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        56⤵
        Views/modifies file attributes
        
        PID:5540
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        55⤵
        
        PID:5404
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        56⤵
        
        PID:5460
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        55⤵
        
        PID:5308
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        55⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:3688
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        56⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:5480
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        57⤵
        
        PID:5616
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        58⤵
        
        PID:6064
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        57⤵
        
        PID:5600
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        58⤵
        
        PID:6116
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        57⤵
        
        PID:5732
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        57⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:5880
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        58⤵
        Checks computer location settings
        Executes dropped EXE
        
        PID:5220
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        59⤵
        
        PID:5312
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        60⤵
        Sets file to hidden
        
        PID:5188
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        59⤵
        
        PID:5592
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        60⤵
        
        PID:5884
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        59⤵
        
        PID:2700
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        59⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:5512
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        60⤵
        Executes dropped EXE
        Adds Run key to start application
        
        PID:5864
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        61⤵
        
        PID:6084
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        62⤵
        
        PID:3544
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        61⤵
        
        PID:6060
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        62⤵
        Sets file to hidden
        
        PID:5676
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        61⤵
        
        PID:6068
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        61⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:5268
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        62⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:5760
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        63⤵
        
        PID:5792
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        64⤵
        
        PID:1320
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        63⤵
        
        PID:4412
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        64⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:5540
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        63⤵
        
        PID:5648
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        63⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:5660
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        64⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        
        PID:5884
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        65⤵
        
        PID:1992
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        66⤵
        
        PID:6320
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        65⤵
        
        PID:1920
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        66⤵
        
        PID:6328
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        65⤵
        
        PID:6156
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        65⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:6220
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        66⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:6368
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        67⤵
        
        PID:6444
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        68⤵
        
        PID:6640
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        67⤵
        
        PID:6468
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        68⤵
        Sets file to hidden
        
        PID:6656
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        67⤵
        
        PID:6480
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        67⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:6528
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        68⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Drops file in System32 directory
        
        PID:6676
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        69⤵
        
        PID:6752
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        70⤵
        Views/modifies file attributes
        
        PID:6944
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        69⤵
        
        PID:6780
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        70⤵
        Views/modifies file attributes
        
        PID:6964
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        69⤵
        
        PID:6788
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        69⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:6864
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        70⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:6984
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        71⤵
        
        PID:7052
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        72⤵
        Sets file to hidden
        
        PID:6196
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        71⤵
        
        PID:7072
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        72⤵
        
        PID:6208
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        71⤵
        
        PID:7080
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        71⤵
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:7140
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        72⤵
        Modifies WinLogon for persistence
        
        PID:6292
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        73⤵
        
        PID:6240
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        74⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:6652
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        73⤵
        
        PID:6392
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        74⤵
        
        PID:6656
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        73⤵
        
        PID:1972
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        73⤵
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:6572
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        74⤵
        Adds Run key to start application
        
        PID:3060
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        75⤵
        
        PID:6712
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        76⤵
        
        PID:6788
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        75⤵
        
        PID:6840
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        76⤵
        
        PID:6912
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        75⤵
        
        PID:6736
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        75⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:6948
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        76⤵
        Checks computer location settings
        
        PID:6884
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        77⤵
        
        PID:7028
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        78⤵
        
        PID:4400
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        77⤵
        
        PID:7128
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        78⤵
        Views/modifies file attributes
        
        PID:6168
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        77⤵
        
        PID:7000
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        77⤵
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:5492
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        78⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:6252
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        79⤵
        
        PID:6544
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        80⤵
        
        PID:6748
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        79⤵
        
        PID:6648
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        80⤵
        
        PID:6708
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        79⤵
        
        PID:6652
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        79⤵
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:6604
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        80⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:6528
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        81⤵
        
        PID:6796
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        82⤵
        Views/modifies file attributes
        
        PID:4504
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        81⤵
        
        PID:7024
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        82⤵
        
        PID:6332
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        81⤵
        
        PID:3252
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        81⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:7136
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        82⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:7016
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        83⤵
        
        PID:6620
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        84⤵
        
        PID:6480
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        83⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        84⤵
        
        PID:1140
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        83⤵
        
        PID:6696
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        83⤵
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:6748
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        84⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:5512
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        85⤵
        
        PID:7120
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        86⤵
        Drops file in System32 directory
        
        PID:6324
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        85⤵
        
        PID:3764
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        86⤵
        
        PID:6212
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        85⤵
        
        PID:6988
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        85⤵
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:3252
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        86⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        
        PID:6568
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        87⤵
        
        PID:7112
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        88⤵
        
        PID:6612
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        87⤵
        
        PID:6788
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        88⤵
        Views/modifies file attributes
        
        PID:4844
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        87⤵
        
        PID:6536
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        87⤵
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:6164
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        88⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:6516
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        89⤵
        
        PID:6924
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        90⤵
        Sets file to hidden
        
        PID:5892
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        89⤵
        
        PID:5276
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        90⤵
        Sets file to hidden
        
        PID:7016
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        89⤵
        
        PID:2472
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        89⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:6612
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        90⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        
        PID:1140
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        91⤵
        
        PID:6948
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        92⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:6212
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        91⤵
        
        PID:6624
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        92⤵
        Sets file to hidden
        
        PID:6200
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        91⤵
        
        PID:6380
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        91⤵
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:3252
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        92⤵
        Drops file in System32 directory
        
        PID:4400
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        93⤵
        
        PID:5892
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        94⤵
        
        PID:6380
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        94⤵
        
        PID:7284
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        93⤵
        
        PID:5080
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        94⤵
        
        PID:7296
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        93⤵
        
        PID:436
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        93⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:7180
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        94⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:7380
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        95⤵
        
        PID:7460
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        96⤵
        
        PID:7640
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        95⤵
        
        PID:7496
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        96⤵
        Views/modifies file attributes
        
        PID:7664
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        95⤵
        
        PID:7504
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        95⤵
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:7556
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        96⤵
        Modifies WinLogon for persistence
        
        PID:7696
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        97⤵
        
        PID:7764
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        98⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:7964
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        97⤵
        
        PID:7780
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        98⤵
        
        PID:7956
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        97⤵
        
        PID:7792
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        97⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:7872
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        98⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:7988
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        99⤵
        
        PID:8064
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        100⤵
        Sets file to hidden
        
        PID:6200
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        99⤵
        
        PID:8072
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        100⤵
        
        PID:6960
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        99⤵
        
        PID:8088
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        99⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:8188
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        100⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:7224
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        101⤵
        
        PID:7372
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        102⤵
        Views/modifies file attributes
        
        PID:7564
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        101⤵
        
        PID:7400
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        102⤵
        Views/modifies file attributes
        
        PID:7620
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        101⤵
        
        PID:7408
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        101⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:7528
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        102⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:7604
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        103⤵
        
        PID:7708
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        104⤵
        
        PID:8048
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        103⤵
        
        PID:7760
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        104⤵
        Sets file to hidden
        
        PID:8160
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        103⤵
        
        PID:7880
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        103⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:7800
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        104⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:8172
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        105⤵
        
        PID:6960
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        106⤵
        
        PID:7292
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        105⤵
        
        PID:6988
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        106⤵
        Drops file in System32 directory
        
        PID:4336
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        105⤵
        
        PID:1844
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        105⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:7244
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        106⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:7640
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        107⤵
        
        PID:7752
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        108⤵
        
        PID:5188
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        107⤵
        
        PID:7956
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        108⤵
        Sets file to hidden
        Drops file in System32 directory
        
        PID:7980
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        107⤵
        
        PID:2880
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        107⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:7900
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        108⤵
        Modifies WinLogon for persistence
        
        PID:7716
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        109⤵
        
        PID:8060
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        110⤵
        
        PID:1844
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        109⤵
        
        PID:8044
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        110⤵
        Sets file to hidden
        
        PID:7284
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        109⤵
        
        PID:7516
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        109⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:7340
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        110⤵
        Modifies WinLogon for persistence
        
        PID:7548
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        111⤵
        
        PID:7184
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        112⤵
        Drops file in System32 directory
        
        PID:8124
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        111⤵
        
        PID:8016
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        112⤵
        
        PID:2484
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        111⤵
        
        PID:5708
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        111⤵
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:7916
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        112⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:5684
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        113⤵
        
        PID:7180
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        114⤵
        Views/modifies file attributes
        
        PID:5260
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        113⤵
        
        PID:4336
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        114⤵
        
        PID:7860
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        113⤵
        
        PID:7628
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        113⤵
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:7520
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        114⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:7332
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        115⤵
        
        PID:7736
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        116⤵
        
        PID:7916
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        116⤵
        
        PID:7860
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        115⤵
        
        PID:5008
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        116⤵
        Sets file to hidden
        
        PID:7844
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        115⤵
        
        PID:7516
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        115⤵
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:1844
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        116⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:7628
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        117⤵
        
        PID:7712
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        118⤵
        Sets file to hidden
        
        PID:1844
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        117⤵
        
        PID:7396
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        118⤵
        Views/modifies file attributes
        
        PID:3212
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        117⤵
        
        PID:7748
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        117⤵
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:8000
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        118⤵
        
        PID:7440
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        119⤵
        
        PID:7340
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        120⤵
        
        PID:1392
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        119⤵
        
        PID:1844
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        120⤵
        Views/modifies file attributes
        
        PID:5484
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        119⤵
        
        PID:8140
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        119⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:7996
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        120⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:7876
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        121⤵
        
        PID:3212
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        122⤵
        
        PID:8140
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        122⤵
        
        PID:8264
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        121⤵
        
        PID:8000
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        122⤵
        
        PID:8328
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        121⤵
        
        PID:5476
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        121⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:8256
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        122⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:8352
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        123⤵
        
        PID:8420
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        124⤵
        Sets file to hidden
        
        PID:8608
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        123⤵
        
        PID:8428
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        124⤵
        Views/modifies file attributes
        
        PID:8616
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        123⤵
        
        PID:8444
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        123⤵
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:8528
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        124⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Drops file in System32 directory
        
        PID:8640
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        125⤵
        
        PID:8712
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        126⤵
        
        PID:8896
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        125⤵
        
        PID:8740
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        126⤵
        Views/modifies file attributes
        
        PID:8912
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        125⤵
        
        PID:8748
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        125⤵
        Suspicious use of SetThreadContext
        Suspicious use of SetWindowsHookEx
        
        PID:8828
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        126⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        
        PID:8932
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        127⤵
        
        PID:9000
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        128⤵
        Views/modifies file attributes
        
        PID:9184
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        127⤵
        
        PID:9028
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        128⤵
        Sets file to hidden
        
        PID:9212
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        127⤵
        
        PID:9036
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        127⤵
        Suspicious use of SetThreadContext
        Modifies registry class
        Suspicious use of SetWindowsHookEx
        
        PID:9128
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        128⤵
        Modifies WinLogon for persistence
        
        PID:8252
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        129⤵
        
        PID:8288
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        130⤵
        Views/modifies file attributes
        
        PID:8408
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        129⤵
        
        PID:8328
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        130⤵
        
        PID:8508
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        129⤵
        
        PID:3716
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        129⤵
        Modifies registry class
        
        PID:8468
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        130⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:8588
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        131⤵
        
        PID:8636
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        132⤵
        Sets file to hidden
        
        PID:8920
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        131⤵
        
        PID:8544
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        132⤵
        Views/modifies file attributes
        
        PID:8880
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        131⤵
        
        PID:8664
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        131⤵
        
        PID:8704
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        132⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:8748
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        133⤵
        
        PID:9076
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        134⤵
        Sets file to hidden
        
        PID:9168
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        133⤵
        
        PID:9112
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        134⤵
        
        PID:5788
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        133⤵
        
        PID:8980
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        133⤵
        
        PID:1060
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        134⤵
        Modifies WinLogon for persistence
        
        PID:8312
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        135⤵
        
        PID:6104
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        136⤵
        
        PID:8652
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        135⤵
        
        PID:8364
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        136⤵
        Sets file to hidden
        
        PID:8484
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        135⤵
        
        PID:8496
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        135⤵
        Modifies registry class
        
        PID:8620
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        136⤵
        Drops file in System32 directory
        
        PID:8448
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        137⤵
        
        PID:1508
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        138⤵
        
        PID:6096
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        137⤵
        
        PID:8696
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        138⤵
        Sets file to hidden
        
        PID:5172
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        137⤵
        
        PID:8760
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        137⤵
        Modifies registry class
        
        PID:8952
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        138⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        
        PID:8980
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        139⤵
        
        PID:8540
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        140⤵
        
        PID:8444
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        139⤵
        
        PID:8552
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        140⤵
        Sets file to hidden
        
        PID:8876
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        139⤵
        
        PID:4460
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        139⤵
        Modifies registry class
        
        PID:8572
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        140⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:8812
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        141⤵
        
        PID:8912
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        142⤵
        
        PID:8260
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        141⤵
        
        PID:5784
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        142⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:8276
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        141⤵
        
        PID:8584
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        141⤵
        Modifies registry class
        
        PID:5504
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        142⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:8892
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        143⤵
        
        PID:8444
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        144⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:5612
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        143⤵
        
        PID:644
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        144⤵
        Views/modifies file attributes
        
        PID:6628
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        143⤵
        
        PID:8304
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        143⤵
        
        PID:2468
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        144⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1672
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        145⤵
        
        PID:8956
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        146⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:8484
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        145⤵
        
        PID:1360
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        146⤵
        Views/modifies file attributes
        
        PID:8972
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        145⤵
        
        PID:4268
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        145⤵
        Modifies registry class
        
        PID:9036
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        146⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:8380
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        147⤵
        
        PID:3204
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        148⤵
        Views/modifies file attributes
        
        PID:5788
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        147⤵
        
        PID:2468
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        148⤵
        
        PID:5504
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        148⤵
        Sets file to hidden
        
        PID:6512
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        147⤵
        
        PID:8276
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        147⤵
        
        PID:8860
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        148⤵
        Adds Run key to start application
        
        PID:2520
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        149⤵
        
        PID:6932
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        150⤵
        Drops file in System32 directory
        
        PID:5612
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        149⤵
        
        PID:6188
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        150⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        149⤵
        
        PID:8844
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        149⤵
        Modifies registry class
        
        PID:5296
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        150⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:4304
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        151⤵
        
        PID:8464
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        152⤵
        
        PID:4976
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        151⤵
        
        PID:9036
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        152⤵
        
        PID:4596
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        151⤵
        
        PID:5832
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        151⤵
        Modifies registry class
        
        PID:9044
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        152⤵
        Adds Run key to start application
        
        PID:6376
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        153⤵
        
        PID:3428
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        154⤵
        Sets file to hidden
        
        PID:1212
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        153⤵
        
        PID:2388
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        154⤵
        
        PID:5832
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        154⤵
        
        PID:8408
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        153⤵
        
        PID:8896
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 8896 -s 80
        154⤵
        Program crash
        
        PID:4508
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        153⤵
        Modifies registry class
        
        PID:2024
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        154⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:1212
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        155⤵
        
        PID:1588
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        156⤵
        
        PID:9408
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        155⤵
        
        PID:9236
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        156⤵
        
        PID:9400
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        155⤵
        
        PID:9244
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        155⤵
        Modifies registry class
        
        PID:9316
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        156⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:9440
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        157⤵
        
        PID:9500
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        158⤵
        Sets file to hidden
        
        PID:9628
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        157⤵
        
        PID:9536
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        158⤵
        
        PID:9664
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        157⤵
        
        PID:9544
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        157⤵
        
        PID:9588
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        158⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:9688
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        159⤵
        
        PID:9760
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        160⤵
        Views/modifies file attributes
        
        PID:9872
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        159⤵
        
        PID:9788
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        160⤵
        
        PID:9904
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        159⤵
        
        PID:9804
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        159⤵
        Drops file in System32 directory
        Modifies registry class
        
        PID:9932
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        160⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:9980
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        161⤵
        
        PID:10048
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        162⤵
        Views/modifies file attributes
        
        PID:10220
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        161⤵
        
        PID:10064
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        162⤵
        Sets file to hidden
        
        PID:9260
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        161⤵
        
        PID:10076
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        161⤵
        
        PID:10144
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        162⤵
        Drops file in System32 directory
        
        PID:9280
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        163⤵
        
        PID:9364
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        164⤵
        
        PID:4072
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        163⤵
        
        PID:9416
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        164⤵
        
        PID:9656
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        163⤵
        
        PID:9412
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        163⤵
        Modifies registry class
        
        PID:9468
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        164⤵
        Modifies WinLogon for persistence
        
        PID:60
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        165⤵
        
        PID:9620
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        166⤵
        Views/modifies file attributes
        
        PID:9812
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        165⤵
        
        PID:9588
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        166⤵
        
        PID:9836
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        165⤵
        
        PID:9772
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        165⤵
        Modifies registry class
        
        PID:9952
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        166⤵
        Drops file in System32 directory
        
        PID:9976
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        167⤵
        
        PID:10116
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        168⤵
        Views/modifies file attributes
        
        PID:9348
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        167⤵
        
        PID:10024
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        168⤵
        Sets file to hidden
        
        PID:9352
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        167⤵
        
        PID:10192
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        167⤵
        
        PID:9260
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        168⤵
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:9380
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        169⤵
        
        PID:4052
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        170⤵
        
        PID:9480
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        169⤵
        
        PID:7260
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        170⤵
        
        PID:1944
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        169⤵
        
        PID:7276
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        169⤵
        
        PID:9676
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        170⤵
        Checks computer location settings
        
        PID:9872
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        171⤵
        
        PID:3448
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        172⤵
        
        PID:9756
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        171⤵
        
        PID:6764
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        172⤵
        
        PID:2432
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        171⤵
        
        PID:9880
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        171⤵
        Modifies registry class
        
        PID:10208
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        172⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        
        PID:3964
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        173⤵
        
        PID:7308
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        174⤵
        Sets file to hidden
        
        PID:9276
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        173⤵
        
        PID:10080
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        174⤵
        Views/modifies file attributes
        
        PID:8304
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        173⤵
        
        PID:9288
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        173⤵
        
        PID:3416
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        174⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:4632
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        175⤵
        
        PID:2920
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        176⤵
        
        PID:7276
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        176⤵
        Sets file to hidden
        
        PID:9264
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        175⤵
        
        PID:9828
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        176⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:10236
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        175⤵
        
        PID:3196
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        175⤵
        
        PID:9756
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        176⤵
        
        PID:8084
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        177⤵
        
        PID:10088
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        178⤵
        
        PID:9436
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        177⤵
        
        PID:7432
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        178⤵
        Views/modifies file attributes
        
        PID:3984
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        177⤵
        
        PID:10172
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        177⤵
        Modifies registry class
        
        PID:7176
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        178⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:9732
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        179⤵
        
        PID:3296
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        180⤵
        Views/modifies file attributes
        
        PID:2432
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        179⤵
        
        PID:9740
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        180⤵
        
        PID:7720
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        179⤵
        
        PID:9676
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        179⤵
        
        PID:2044
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        180⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:1112
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        181⤵
        
        PID:3080
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        182⤵
        
        PID:3812
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        181⤵
        
        PID:10208
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        182⤵
        
        PID:9436
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        182⤵
        
        PID:9636
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        181⤵
        
        PID:4212
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        181⤵
        Drops file in System32 directory
        Modifies registry class
        
        PID:6748
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        182⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:1628
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        183⤵
        
        PID:9832
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        184⤵
        
        PID:2432
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        184⤵
        
        PID:9888
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        183⤵
        
        PID:10060
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        184⤵
        Views/modifies file attributes
        
        PID:9880
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        183⤵
        
        PID:5140
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        183⤵
        
        PID:2044
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        184⤵
        Checks computer location settings
        
        PID:7192
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        185⤵
        
        PID:5408
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        186⤵
        Views/modifies file attributes
        
        PID:10000
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        185⤵
        
        PID:3984
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        186⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:9248
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        185⤵
        
        PID:10012
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        185⤵
        
        PID:952
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        186⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:3312
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        187⤵
        
        PID:5716
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        188⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:1948
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        187⤵
        
        PID:3188
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        188⤵
        Sets file to hidden
        
        PID:6048
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        187⤵
        
        PID:388
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        187⤵
        Modifies registry class
        
        PID:2320
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        188⤵
        Drops file in System32 directory
        
        PID:6108
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        189⤵
        
        PID:5128
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        190⤵
        Sets file to hidden
        
        PID:9888
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        189⤵
        
        PID:7776
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        190⤵
        
        PID:8224
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        189⤵
        
        PID:9636
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        189⤵
        
        PID:9812
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        190⤵
        Drops file in System32 directory
        
        PID:6100
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        191⤵
        
        PID:5644
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        192⤵
        Drops file in System32 directory
        
        PID:9248
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        191⤵
        
        PID:5196
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        192⤵
        Sets file to hidden
        
        PID:5248
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        191⤵
        
        PID:10012
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        191⤵
        
        PID:9636
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        192⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        
        PID:6212
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        193⤵
        
        PID:9288
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        194⤵
        Views/modifies file attributes
        
        PID:10012
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        193⤵
        
        PID:2436
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        194⤵
        Views/modifies file attributes
        
        PID:7564
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        193⤵
        
        PID:8604
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        193⤵
        Modifies registry class
        
        PID:6072
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        194⤵
        Checks computer location settings
        Drops file in System32 directory
        
        PID:6132
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        195⤵
        
        PID:8004
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        196⤵
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:2304
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        195⤵
        
        PID:9208
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        196⤵
        
        PID:8604
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        196⤵
        
        PID:5820
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        195⤵
        
        PID:8040
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        195⤵
        Modifies registry class
        
        PID:3276
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        196⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:3036
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        197⤵
        
        PID:9732
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        198⤵
        
        PID:2304
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        198⤵
        Drops file in System32 directory
        
        PID:9640
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        197⤵
        
        PID:8504
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        198⤵
        
        PID:9248
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        198⤵
        Views/modifies file attributes
        
        PID:3276
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        197⤵
        
        PID:8884
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        197⤵
        
        PID:5444
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        198⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:10284
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        199⤵
        
        PID:10356
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        200⤵
        
        PID:10480
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        199⤵
        
        PID:10376
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        200⤵
        
        PID:10552
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        199⤵
        
        PID:10384
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        199⤵
        
        PID:10512
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        200⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:10576
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        201⤵
        
        PID:10652
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        202⤵
        
        PID:10844
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        201⤵
        
        PID:10680
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        202⤵
        
        PID:10852
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        201⤵
        
        PID:10688
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        201⤵
        
        PID:10768
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        202⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:10876
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        203⤵
        
        PID:10952
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        204⤵
        
        PID:11160
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        203⤵
        
        PID:10968
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        204⤵
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:11152
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        203⤵
        
        PID:10980
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        203⤵
        Modifies registry class
        
        PID:11056
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        204⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Drops file in System32 directory
        
        PID:11200
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        205⤵
        
        PID:10244
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        206⤵
        
        PID:10368
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        205⤵
        
        PID:9744
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        206⤵
        
        PID:10472
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        205⤵
        
        PID:5140
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        205⤵
        Modifies registry class
        
        PID:2936
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        206⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:10524
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        207⤵
        
        PID:10556
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        208⤵
        Views/modifies file attributes
        
        PID:10700
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        207⤵
        
        PID:8272
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        208⤵
        
        PID:10628
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        207⤵
        
        PID:3176
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        207⤵
        Modifies registry class
        
        PID:10548
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        208⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        
        PID:10640
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        209⤵
        
        PID:10860
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        210⤵
        Sets file to hidden
        
        PID:10892
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        209⤵
        
        PID:10864
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        210⤵
        
        PID:10924
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        209⤵
        
        PID:10816
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        209⤵
        Modifies registry class
        
        PID:11000
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        210⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:10932
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        211⤵
        
        PID:11184
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        212⤵
        
        PID:11232
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        211⤵
        
        PID:6824
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        212⤵
        
        PID:8620
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        211⤵
        
        PID:6916
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        211⤵
        Modifies registry class
        
        PID:10276
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        212⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:10416
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        213⤵
        
        PID:7108
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        214⤵
        
        PID:10624
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        213⤵
        
        PID:5700
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        214⤵
        
        PID:10628
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        213⤵
        
        PID:3716
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        213⤵
        Modifies registry class
        
        PID:10388
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        214⤵
        Checks computer location settings
        
        PID:10520
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        215⤵
        
        PID:6180
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        216⤵
        
        PID:8652
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        215⤵
        
        PID:6820
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        216⤵
        
        PID:10936
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        215⤵
        
        PID:10548
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        215⤵
        
        PID:10800
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        216⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:11012
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        217⤵
        
        PID:11240
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        218⤵
        
        PID:6064
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        217⤵
        
        PID:11172
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        218⤵
        Views/modifies file attributes
        
        PID:10312
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        217⤵
        
        PID:8268
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        217⤵
        Modifies registry class
        
        PID:6628
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        218⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:5488
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        219⤵
        
        PID:10496
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        220⤵
        Sets file to hidden
        
        PID:6616
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        219⤵
        
        PID:4048
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        220⤵
        
        PID:6688
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        219⤵
        
        PID:1700
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        219⤵
        
        PID:8452
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        220⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:10588
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        221⤵
        
        PID:10716
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        222⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:8616
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        221⤵
        
        PID:10936
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        222⤵
        Drops file in System32 directory
        
        PID:11016
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        221⤵
        
        PID:10868
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        221⤵
        
        PID:4976
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        222⤵
        Checks computer location settings
        
        PID:6124
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        223⤵
        
        PID:8320
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        224⤵
        
        PID:9396
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        223⤵
        
        PID:10432
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        224⤵
        
        PID:6616
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        223⤵
        
        PID:11208
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        223⤵
        Modifies registry class
        
        PID:6888
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        224⤵
        Checks computer location settings
        
        PID:10812
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        225⤵
        
        PID:2736
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        226⤵
        Sets file to hidden
        Drops file in System32 directory
        
        PID:11020
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        225⤵
        
        PID:8784
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        226⤵
        Views/modifies file attributes
        
        PID:6344
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        225⤵
        
        PID:11116
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        225⤵
        
        PID:10880
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        226⤵
        
        PID:4976
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        227⤵
        
        PID:10456
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        228⤵
        Views/modifies file attributes
        
        PID:7004
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        227⤵
        
        PID:6520
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        228⤵
        Views/modifies file attributes
        
        PID:1700
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        227⤵
        
        PID:6632
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        227⤵
        
        PID:6964
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        228⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:11168
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        229⤵
        
        PID:10780
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        230⤵
        Drops file in System32 directory
        
        PID:9608
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        229⤵
        
        PID:8372
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        230⤵
        
        PID:6688
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        229⤵
        
        PID:10868
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        229⤵
        Modifies registry class
        
        PID:10880
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        230⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        
        PID:5072
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        231⤵
        
        PID:1700
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        232⤵
        Views/modifies file attributes
        
        PID:6612
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        231⤵
        
        PID:10480
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        232⤵
        Sets file to hidden
        
        PID:5672
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        231⤵
        
        PID:10492
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        231⤵
        
        PID:6064
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        232⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        
        PID:9452
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        233⤵
        
        PID:7228
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        234⤵
        
        PID:10868
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        234⤵
        Sets file to hidden
        
        PID:7212
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        233⤵
        
        PID:10312
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        234⤵
        
        PID:8116
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        233⤵
        
        PID:9860
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        233⤵
        
        PID:10624
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        234⤵
        Drops file in System32 directory
        
        PID:6320
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        235⤵
        
        PID:10232
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        236⤵
        
        PID:6064
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        236⤵
        Sets file to hidden
        
        PID:10144
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        235⤵
        
        PID:3900
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        236⤵
        
        PID:7596
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        235⤵
        
        PID:9644
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        235⤵
        Modifies registry class
        
        PID:10752
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        236⤵
        Adds Run key to start application
        
        PID:10748
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        237⤵
        
        PID:10008
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        238⤵
        
        PID:10528
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        237⤵
        
        PID:10408
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        238⤵
        
        PID:10144
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        238⤵
        
        PID:600
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        237⤵
        
        PID:6496
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        237⤵
        
        PID:10492
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        238⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:12076
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        239⤵
        
        PID:12144
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\msdcsc.exe" +s +h
        240⤵
        
        PID:12116
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        239⤵
        
        PID:12172
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC" +s +h
        240⤵
        
        PID:7888
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        239⤵
        
        PID:12180
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\msdcsc.exe"
        239⤵
        Modifies registry class
        
        PID:12264
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe
        
        240⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:12236
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        241⤵
        
        PID:12140
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        242⤵
        
        PID:10492
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\msdcsc.exe" +s +h
        242⤵
        
        PID:12268
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        241⤵
        
        PID:12212
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4" +s +h
        242⤵
        
        PID:12096
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        241⤵
        
        PID:7888
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe"
        241⤵
        
        PID:12272
        
        C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe
        
        242⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:12128
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4\msdcsc.exe" +s +h
        243⤵
        
        PID:9336
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        244⤵
        
        PID:12264
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\MSDCSC\rMiPZDUM3Js4\rMiPZDUM3Js4" +s +h
        243⤵
        
        PID:7888
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        243⤵
        
        PID:7444
        
        C:\Windows\SysWOW64\MSDCSC\msdcsc.exe
        
        "C:\Windows\system32\MSDCSC\msdcsc.exe"
        243⤵
        
        PID:12100

C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe -k WerSvcGroup
1⤵
PID:6512
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -pss -s 460 -p 8896 -ip 8896
  2⤵
  PID:6980

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Hide Artifacts

T1564

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\MSDCSC\msdcsc.exe

Filesize
815KB

MD5
4a510760b3a91e79e03f1ab8e08241f3

SHA1
69b47067648844910f28869ccf29a2614dde0f35

SHA256
5769bc6ab4c2807a8598c7be0688b179ca35c5669c6515aaebbc24e1645401fb

SHA512
e97be1b589a5356f18d9cd4181b2fd111790c801ac0f93c5b30bfb6a284bfbcdb195e849d2eb169767e45898cb3858ce7502082dee269ea476fff52de20c2ef0

Download Submit
memory/632-211-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/1828-259-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/1828-244-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/1968-150-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/1968-163-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/2200-151-0x0000000000400000-0x000000000043A000-memory.dmp

Filesize
232KB

Download
memory/2632-100-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/2632-101-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/2632-117-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/3408-282-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/3408-268-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4304-69-0x0000000003300000-0x0000000003301000-memory.dmp

Filesize
4KB

Download
memory/4304-31-0x0000000002F00000-0x0000000002F01000-memory.dmp

Filesize
4KB

Download
memory/4304-61-0x0000000003280000-0x0000000003281000-memory.dmp

Filesize
4KB

Download
memory/4304-20-0x0000000002BC0000-0x0000000002BC1000-memory.dmp

Filesize
4KB

Download
memory/4304-24-0x0000000002C00000-0x0000000002C01000-memory.dmp

Filesize
4KB

Download
memory/4304-23-0x0000000002BD0000-0x0000000002BD1000-memory.dmp

Filesize
4KB

Download
memory/4304-33-0x0000000002F20000-0x0000000002F21000-memory.dmp

Filesize
4KB

Download
memory/4304-97-0x00000000030B0000-0x00000000030B1000-memory.dmp

Filesize
4KB

Download
memory/4304-96-0x0000000003410000-0x0000000003411000-memory.dmp

Filesize
4KB

Download
memory/4304-95-0x00000000033B0000-0x00000000033B1000-memory.dmp

Filesize
4KB

Download
memory/4304-94-0x0000000003120000-0x0000000003121000-memory.dmp

Filesize
4KB

Download
memory/4304-93-0x0000000003100000-0x0000000003101000-memory.dmp

Filesize
4KB

Download
memory/4304-92-0x00000000030E0000-0x00000000030E1000-memory.dmp

Filesize
4KB

Download
memory/4304-91-0x00000000030F0000-0x00000000030F1000-memory.dmp

Filesize
4KB

Download
memory/4304-90-0x00000000030C0000-0x00000000030C1000-memory.dmp

Filesize
4KB

Download
memory/4304-89-0x00000000030D0000-0x00000000030D1000-memory.dmp

Filesize
4KB

Download
memory/4304-88-0x00000000030A0000-0x00000000030A1000-memory.dmp

Filesize
4KB

Download
memory/4304-87-0x0000000003440000-0x0000000003441000-memory.dmp

Filesize
4KB

Download
memory/4304-86-0x0000000003450000-0x0000000003451000-memory.dmp

Filesize
4KB

Download
memory/4304-85-0x0000000003420000-0x0000000003421000-memory.dmp

Filesize
4KB

Download
memory/4304-84-0x0000000003430000-0x0000000003431000-memory.dmp

Filesize
4KB

Download
memory/4304-83-0x0000000003400000-0x0000000003401000-memory.dmp

Filesize
4KB

Download
memory/4304-82-0x00000000033E0000-0x00000000033E1000-memory.dmp

Filesize
4KB

Download
memory/4304-81-0x00000000033F0000-0x00000000033F1000-memory.dmp

Filesize
4KB

Download
memory/4304-80-0x00000000033C0000-0x00000000033C1000-memory.dmp

Filesize
4KB

Download
memory/4304-79-0x00000000033D0000-0x00000000033D1000-memory.dmp

Filesize
4KB

Download
memory/4304-37-0x0000000002F60000-0x0000000002F61000-memory.dmp

Filesize
4KB

Download
memory/4304-36-0x0000000002F70000-0x0000000002F71000-memory.dmp

Filesize
4KB

Download
memory/4304-35-0x0000000002F40000-0x0000000002F41000-memory.dmp

Filesize
4KB

Download
memory/4304-32-0x0000000002F30000-0x0000000002F31000-memory.dmp

Filesize
4KB

Download
memory/4304-62-0x00000000032B0000-0x00000000032B1000-memory.dmp

Filesize
4KB

Download
memory/4304-30-0x0000000002F10000-0x0000000002F11000-memory.dmp

Filesize
4KB

Download
memory/4304-29-0x0000000002EE0000-0x0000000002EE1000-memory.dmp

Filesize
4KB

Download
memory/4304-28-0x0000000002EF0000-0x0000000002EF1000-memory.dmp

Filesize
4KB

Download
memory/4304-27-0x0000000002C10000-0x0000000002C11000-memory.dmp

Filesize
4KB

Download
memory/4304-26-0x0000000002C20000-0x0000000002C21000-memory.dmp

Filesize
4KB

Download
memory/4304-25-0x0000000002BF0000-0x0000000002BF1000-memory.dmp

Filesize
4KB

Download
memory/4304-78-0x00000000033A0000-0x00000000033A1000-memory.dmp

Filesize
4KB

Download
memory/4304-77-0x0000000003380000-0x0000000003381000-memory.dmp

Filesize
4KB

Download
memory/4304-76-0x0000000003390000-0x0000000003391000-memory.dmp

Filesize
4KB

Download
memory/4304-75-0x0000000003360000-0x0000000003361000-memory.dmp

Filesize
4KB

Download
memory/4304-74-0x0000000003370000-0x0000000003371000-memory.dmp

Filesize
4KB

Download
memory/4304-63-0x00000000032A0000-0x00000000032A1000-memory.dmp

Filesize
4KB

Download
memory/4304-72-0x0000000003350000-0x0000000003351000-memory.dmp

Filesize
4KB

Download
memory/4304-71-0x0000000003320000-0x0000000003321000-memory.dmp

Filesize
4KB

Download
memory/4304-70-0x0000000003330000-0x0000000003331000-memory.dmp

Filesize
4KB

Download
memory/4304-11-0x0000000002210000-0x0000000002211000-memory.dmp

Filesize
4KB

Download
memory/4304-68-0x0000000003310000-0x0000000003311000-memory.dmp

Filesize
4KB

Download
memory/4304-67-0x00000000032E0000-0x00000000032E1000-memory.dmp

Filesize
4KB

Download
memory/4304-66-0x00000000032F0000-0x00000000032F1000-memory.dmp

Filesize
4KB

Download
memory/4304-65-0x00000000032C0000-0x00000000032C1000-memory.dmp

Filesize
4KB

Download
memory/4304-64-0x00000000032D0000-0x00000000032D1000-memory.dmp

Filesize
4KB

Download
memory/4304-73-0x0000000003340000-0x0000000003341000-memory.dmp

Filesize
4KB

Download
memory/4304-22-0x0000000002BE0000-0x0000000002BE1000-memory.dmp

Filesize
4KB

Download
memory/4304-21-0x0000000002BB0000-0x0000000002BB1000-memory.dmp

Filesize
4KB

Download
memory/4304-60-0x0000000003290000-0x0000000003291000-memory.dmp

Filesize
4KB

Download
memory/4304-59-0x0000000003260000-0x0000000003261000-memory.dmp

Filesize
4KB

Download
memory/4304-58-0x0000000003270000-0x0000000003271000-memory.dmp

Filesize
4KB

Download
memory/4304-57-0x0000000003240000-0x0000000003241000-memory.dmp

Filesize
4KB

Download
memory/4304-56-0x0000000003250000-0x0000000003251000-memory.dmp

Filesize
4KB

Download
memory/4304-55-0x0000000003080000-0x0000000003081000-memory.dmp

Filesize
4KB

Download
memory/4304-54-0x0000000003090000-0x0000000003091000-memory.dmp

Filesize
4KB

Download
memory/4304-53-0x0000000003060000-0x0000000003061000-memory.dmp

Filesize
4KB

Download
memory/4304-52-0x0000000003070000-0x0000000003071000-memory.dmp

Filesize
4KB

Download
memory/4304-51-0x0000000003040000-0x0000000003041000-memory.dmp

Filesize
4KB

Download
memory/4304-50-0x0000000003050000-0x0000000003051000-memory.dmp

Filesize
4KB

Download
memory/4304-49-0x0000000003020000-0x0000000003021000-memory.dmp

Filesize
4KB

Download
memory/4304-48-0x0000000003030000-0x0000000003031000-memory.dmp

Filesize
4KB

Download
memory/4304-47-0x0000000003000000-0x0000000003001000-memory.dmp

Filesize
4KB

Download
memory/4304-46-0x0000000003010000-0x0000000003011000-memory.dmp

Filesize
4KB

Download
memory/4304-45-0x0000000002FE0000-0x0000000002FE1000-memory.dmp

Filesize
4KB

Download
memory/4304-44-0x0000000002FF0000-0x0000000002FF1000-memory.dmp

Filesize
4KB

Download
memory/4304-43-0x0000000002FC0000-0x0000000002FC1000-memory.dmp

Filesize
4KB

Download
memory/4304-42-0x0000000002FD0000-0x0000000002FD1000-memory.dmp

Filesize
4KB

Download
memory/4304-41-0x0000000002FA0000-0x0000000002FA1000-memory.dmp

Filesize
4KB

Download
memory/4304-40-0x0000000002FB0000-0x0000000002FB1000-memory.dmp

Filesize
4KB

Download
memory/4304-39-0x0000000002F80000-0x0000000002F81000-memory.dmp

Filesize
4KB

Download
memory/4304-38-0x0000000002F90000-0x0000000002F91000-memory.dmp

Filesize
4KB

Download
memory/4304-34-0x0000000002F50000-0x0000000002F51000-memory.dmp

Filesize
4KB

Download
memory/4304-18-0x0000000002BA0000-0x0000000002BA1000-memory.dmp

Filesize
4KB

Download
memory/4304-19-0x0000000002B90000-0x0000000002B91000-memory.dmp

Filesize
4KB

Download
memory/4304-17-0x0000000002B60000-0x0000000002B61000-memory.dmp

Filesize
4KB

Download
memory/4304-16-0x0000000002B80000-0x0000000002B81000-memory.dmp

Filesize
4KB

Download
memory/4304-15-0x00000000022F0000-0x00000000022F1000-memory.dmp

Filesize
4KB

Download
memory/4304-14-0x0000000002300000-0x0000000002301000-memory.dmp

Filesize
4KB

Download
memory/4304-13-0x00000000022D0000-0x00000000022D1000-memory.dmp

Filesize
4KB

Download
memory/4304-12-0x00000000022E0000-0x00000000022E1000-memory.dmp

Filesize
4KB

Download
memory/4304-10-0x00000000021A0000-0x00000000021A1000-memory.dmp

Filesize
4KB

Download
memory/4304-9-0x0000000002190000-0x0000000002191000-memory.dmp

Filesize
4KB

Download
memory/4304-0-0x0000000000400000-0x000000000043A000-memory.dmp

Filesize
232KB

Download
memory/4304-8-0x0000000002200000-0x0000000002201000-memory.dmp

Filesize
4KB

Download
memory/4304-4-0x0000000002250000-0x0000000002251000-memory.dmp

Filesize
4KB

Download
memory/4304-1-0x00000000021C0000-0x00000000021F0000-memory.dmp

Filesize
192KB

Download
memory/4304-3-0x00000000021B0000-0x00000000021B2000-memory.dmp

Filesize
8KB

Download
memory/4304-2-0x00000000021F0000-0x00000000021F8000-memory.dmp

Filesize
32KB

Download
memory/4304-5-0x0000000002260000-0x0000000002261000-memory.dmp

Filesize
4KB

Download
memory/4348-140-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4348-126-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4380-291-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4380-304-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4404-187-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4404-173-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4420-292-0x0000000000400000-0x000000000043A000-memory.dmp

Filesize
232KB

Download
memory/4760-107-0x0000000000400000-0x0000000000401000-memory.dmp

Filesize
4KB

Download
memory/4796-221-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4796-235-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download

Analysis

Sharing

General

Malware Config

Extracted

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads