468e7bf4683f3683ead964271f0ff17902c0458040689431d8d8e9ba40b121c0

Analysis

max time kernel
75s
max time network
18s
platform
windows7_x64
resource
win7-20240704-en
resource tags

arch:x64arch:x86image:win7-20240704-enlocale:en-usos:windows7-x64system
submitted
18-08-2024 01:24

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Size

807KB
MD5

a4d80406d9a09c897954b9fbfe9fb9af
SHA1

a4017e664efd2e1e7a3d5e5e771b4c6fcef587a8
SHA256

468e7bf4683f3683ead964271f0ff17902c0458040689431d8d8e9ba40b121c0
SHA512

546777c79f9018539e0223433fc13bf17544c1fc349efbf3dcc9e59828b184cf15c0c4f6331aa48d8ce405df68cf35cb35f6dff294e855a3ea7a672a3211d2c7
SSDEEP

12288:WsolIorqw9LltVaPLgEjYHx+2/SzzdX+/GU0N6mphZWbN6y1YrTP:U2XwZl+PUWYHxXCSGFphi1m7

Score

10^/10

discovery persistence

Malware Config

Signatures

Modifies WinLogon for persistence 2 TTPs 64 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe"	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe

Boot or Logon Autostart Execution: Active Setup 2 TTPs 64 IoCs

Adversaries may achieve persistence by adding a Registry key to the Active Setup of the local machine.

persistence

Active Setup

T1547.014

Modify Registry

T1112

description	ioc	Process
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe

Executes dropped EXE 64 IoCs

pid	Process
2096	svchost.exe
2084	svchost.exe
2888	svchost.exe
2900	svchost.exe
2916	svchost.exe
2600	svchost.exe
2572	svchost.exe
2372	svchost.exe
436	svchost.exe
1632	svchost.exe
2856	svchost.exe
1420	svchost.exe
952	svchost.exe
2424	svchost.exe
2276	svchost.exe
2476	svchost.exe
1616	svchost.exe
1032	svchost.exe
1764	svchost.exe
2988	svchost.exe
1512	svchost.exe
2996	svchost.exe
2224	svchost.exe
524	svchost.exe
1572	svchost.exe
3012	svchost.exe
3024	svchost.exe
2712	svchost.exe
2760	svchost.exe
2956	svchost.exe
2568	svchost.exe
2720	svchost.exe
2604	svchost.exe
2664	svchost.exe
1312	svchost.exe
2540	svchost.exe
2372	svchost.exe
1264	svchost.exe
972	svchost.exe
2652	svchost.exe
592	svchost.exe
1772	svchost.exe
2400	svchost.exe
320	svchost.exe
1804	svchost.exe
2276	svchost.exe
1152	svchost.exe
536	svchost.exe
1348	svchost.exe
1736	svchost.exe
868	svchost.exe
2684	svchost.exe
2052	svchost.exe
1724	svchost.exe
3056	svchost.exe
2952	svchost.exe
2236	svchost.exe
2116	svchost.exe
2808	svchost.exe
2084	svchost.exe
2896	svchost.exe
2920	svchost.exe
1092	svchost.exe
2680	svchost.exe

Loads dropped DLL 64 IoCs

pid	Process
3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
2096	svchost.exe
2096	svchost.exe
2084	svchost.exe
2084	svchost.exe
2888	svchost.exe
2888	svchost.exe
2900	svchost.exe
2900	svchost.exe
2916	svchost.exe
2916	svchost.exe
2600	svchost.exe
2600	svchost.exe
2572	svchost.exe
2572	svchost.exe
2372	svchost.exe
2372	svchost.exe
436	svchost.exe
436	svchost.exe
1632	svchost.exe
1632	svchost.exe
2856	svchost.exe
2856	svchost.exe
1420	svchost.exe
1420	svchost.exe
952	svchost.exe
952	svchost.exe
2424	svchost.exe
2424	svchost.exe
2276	svchost.exe
2276	svchost.exe
2476	svchost.exe
2476	svchost.exe
1616	svchost.exe
1616	svchost.exe
1032	svchost.exe
1032	svchost.exe
1764	svchost.exe
1764	svchost.exe
2988	svchost.exe
2988	svchost.exe
1512	svchost.exe
1512	svchost.exe
2996	svchost.exe
2996	svchost.exe
2224	svchost.exe
2224	svchost.exe
524	svchost.exe
524	svchost.exe
1572	svchost.exe
1572	svchost.exe
3012	svchost.exe
3012	svchost.exe
3024	svchost.exe
3024	svchost.exe
2712	svchost.exe
2712	svchost.exe
2760	svchost.exe
2760	svchost.exe
2956	svchost.exe
2956	svchost.exe
2568	svchost.exe
2568	svchost.exe

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeIncreaseQuotaPrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeSecurityPrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeTakeOwnershipPrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeLoadDriverPrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeSystemProfilePrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeSystemtimePrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeProfSingleProcessPrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeIncBasePriorityPrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeCreatePagefilePrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeBackupPrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeRestorePrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeShutdownPrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeDebugPrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeSystemEnvironmentPrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeChangeNotifyPrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeRemoteShutdownPrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeUndockPrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeManageVolumePrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeImpersonatePrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeCreateGlobalPrivilege	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: 33	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: 34	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: 35	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeIncreaseQuotaPrivilege	2096	svchost.exe
Token: SeSecurityPrivilege	2096	svchost.exe
Token: SeTakeOwnershipPrivilege	2096	svchost.exe
Token: SeLoadDriverPrivilege	2096	svchost.exe
Token: SeSystemProfilePrivilege	2096	svchost.exe
Token: SeSystemtimePrivilege	2096	svchost.exe
Token: SeProfSingleProcessPrivilege	2096	svchost.exe
Token: SeIncBasePriorityPrivilege	2096	svchost.exe
Token: SeCreatePagefilePrivilege	2096	svchost.exe
Token: SeBackupPrivilege	2096	svchost.exe
Token: SeRestorePrivilege	2096	svchost.exe
Token: SeShutdownPrivilege	2096	svchost.exe
Token: SeDebugPrivilege	2096	svchost.exe
Token: SeSystemEnvironmentPrivilege	2096	svchost.exe
Token: SeChangeNotifyPrivilege	2096	svchost.exe
Token: SeRemoteShutdownPrivilege	2096	svchost.exe
Token: SeUndockPrivilege	2096	svchost.exe
Token: SeManageVolumePrivilege	2096	svchost.exe
Token: SeImpersonatePrivilege	2096	svchost.exe
Token: SeCreateGlobalPrivilege	2096	svchost.exe
Token: 33	2096	svchost.exe
Token: 34	2096	svchost.exe
Token: 35	2096	svchost.exe
Token: SeIncreaseQuotaPrivilege	2084	svchost.exe
Token: SeSecurityPrivilege	2084	svchost.exe
Token: SeTakeOwnershipPrivilege	2084	svchost.exe
Token: SeLoadDriverPrivilege	2084	svchost.exe
Token: SeSystemProfilePrivilege	2084	svchost.exe
Token: SeSystemtimePrivilege	2084	svchost.exe
Token: SeProfSingleProcessPrivilege	2084	svchost.exe
Token: SeIncBasePriorityPrivilege	2084	svchost.exe
Token: SeCreatePagefilePrivilege	2084	svchost.exe
Token: SeBackupPrivilege	2084	svchost.exe
Token: SeRestorePrivilege	2084	svchost.exe
Token: SeShutdownPrivilege	2084	svchost.exe
Token: SeDebugPrivilege	2084	svchost.exe
Token: SeSystemEnvironmentPrivilege	2084	svchost.exe
Token: SeChangeNotifyPrivilege	2084	svchost.exe
Token: SeRemoteShutdownPrivilege	2084	svchost.exe
Token: SeUndockPrivilege	2084	svchost.exe
Token: SeManageVolumePrivilege	2084	svchost.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 3004 wrote to memory of 2096	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe	29
PID 3004 wrote to memory of 2096	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe	29
PID 3004 wrote to memory of 2096	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe	29
PID 3004 wrote to memory of 2096	3004	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe	29
PID 2096 wrote to memory of 2084	2096	svchost.exe	30
PID 2096 wrote to memory of 2084	2096	svchost.exe	30
PID 2096 wrote to memory of 2084	2096	svchost.exe	30
PID 2096 wrote to memory of 2084	2096	svchost.exe	30
PID 2084 wrote to memory of 2888	2084	svchost.exe	31
PID 2084 wrote to memory of 2888	2084	svchost.exe	31
PID 2084 wrote to memory of 2888	2084	svchost.exe	31
PID 2084 wrote to memory of 2888	2084	svchost.exe	31
PID 2888 wrote to memory of 2900	2888	svchost.exe	32
PID 2888 wrote to memory of 2900	2888	svchost.exe	32
PID 2888 wrote to memory of 2900	2888	svchost.exe	32
PID 2888 wrote to memory of 2900	2888	svchost.exe	32
PID 2900 wrote to memory of 2916	2900	svchost.exe	33
PID 2900 wrote to memory of 2916	2900	svchost.exe	33
PID 2900 wrote to memory of 2916	2900	svchost.exe	33
PID 2900 wrote to memory of 2916	2900	svchost.exe	33
PID 2916 wrote to memory of 2600	2916	svchost.exe	34
PID 2916 wrote to memory of 2600	2916	svchost.exe	34
PID 2916 wrote to memory of 2600	2916	svchost.exe	34
PID 2916 wrote to memory of 2600	2916	svchost.exe	34
PID 2600 wrote to memory of 2572	2600	svchost.exe	35
PID 2600 wrote to memory of 2572	2600	svchost.exe	35
PID 2600 wrote to memory of 2572	2600	svchost.exe	35
PID 2600 wrote to memory of 2572	2600	svchost.exe	35
PID 2572 wrote to memory of 2372	2572	svchost.exe	36
PID 2572 wrote to memory of 2372	2572	svchost.exe	36
PID 2572 wrote to memory of 2372	2572	svchost.exe	36
PID 2572 wrote to memory of 2372	2572	svchost.exe	36
PID 2372 wrote to memory of 436	2372	svchost.exe	37
PID 2372 wrote to memory of 436	2372	svchost.exe	37
PID 2372 wrote to memory of 436	2372	svchost.exe	37
PID 2372 wrote to memory of 436	2372	svchost.exe	37
PID 436 wrote to memory of 1632	436	svchost.exe	38
PID 436 wrote to memory of 1632	436	svchost.exe	38
PID 436 wrote to memory of 1632	436	svchost.exe	38
PID 436 wrote to memory of 1632	436	svchost.exe	38
PID 1632 wrote to memory of 2856	1632	svchost.exe	39
PID 1632 wrote to memory of 2856	1632	svchost.exe	39
PID 1632 wrote to memory of 2856	1632	svchost.exe	39
PID 1632 wrote to memory of 2856	1632	svchost.exe	39
PID 2856 wrote to memory of 1420	2856	svchost.exe	40
PID 2856 wrote to memory of 1420	2856	svchost.exe	40
PID 2856 wrote to memory of 1420	2856	svchost.exe	40
PID 2856 wrote to memory of 1420	2856	svchost.exe	40
PID 1420 wrote to memory of 952	1420	svchost.exe	41
PID 1420 wrote to memory of 952	1420	svchost.exe	41
PID 1420 wrote to memory of 952	1420	svchost.exe	41
PID 1420 wrote to memory of 952	1420	svchost.exe	41
PID 952 wrote to memory of 2424	952	svchost.exe	42
PID 952 wrote to memory of 2424	952	svchost.exe	42
PID 952 wrote to memory of 2424	952	svchost.exe	42
PID 952 wrote to memory of 2424	952	svchost.exe	42
PID 2424 wrote to memory of 2276	2424	svchost.exe	43
PID 2424 wrote to memory of 2276	2424	svchost.exe	43
PID 2424 wrote to memory of 2276	2424	svchost.exe	43
PID 2424 wrote to memory of 2276	2424	svchost.exe	43
PID 2276 wrote to memory of 2476	2276	svchost.exe	44
PID 2276 wrote to memory of 2476	2276	svchost.exe	44
PID 2276 wrote to memory of 2476	2276	svchost.exe	44
PID 2276 wrote to memory of 2476	2276	svchost.exe	44

C:\Users\Admin\AppData\Local\Temp\a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe"
1⤵
- Modifies WinLogon for persistence
- Boot or Logon Autostart Execution: Active Setup
- Loads dropped DLL
- Adds Run key to start application
- System Location Discovery: System Language Discovery
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:3004
- C:\Windows\SysWOW64\svchost.exe
  "C:\Windows\System32\svchost.exe"
  2⤵
  - Modifies WinLogon for persistence
  - Boot or Logon Autostart Execution: Active Setup
  - Executes dropped EXE
  - Loads dropped DLL
  - Adds Run key to start application
  - System Location Discovery: System Language Discovery
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:2096
- - C:\Windows\SysWOW64\svchost.exe
    "C:\Windows\System32\svchost.exe"
    3⤵
    - Modifies WinLogon for persistence
    - Executes dropped EXE
    - Loads dropped DLL
    - Adds Run key to start application
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:2084
  - - C:\Windows\SysWOW64\svchost.exe
      "C:\Windows\System32\svchost.exe"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Drops file in System32 directory
      Suspicious use of WriteProcessMemory
      PID:2888
    - - C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        5⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:2900
      - C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        6⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:2916
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:2600
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:2572
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        9⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:2372
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        10⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:436
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        11⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:1632
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        12⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:2856
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        13⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:1420
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        14⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:952
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        15⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:2424
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        16⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:2276
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        17⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2476
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        18⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:1616
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        19⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:1032
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        20⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:1764
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        21⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:2988
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        22⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:1512
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        23⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2996
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        24⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2224
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        25⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:524
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        26⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:1572
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        27⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        System Location Discovery: System Language Discovery
        
        PID:3012
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        28⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:3024
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        29⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2712
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        30⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2760
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        31⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:2956
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        32⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2568
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        33⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2720
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        34⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        
        PID:2604
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        35⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2664
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        36⤵
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:1312
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        37⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2540
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        38⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2372
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        39⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:1264
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        40⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:972
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        41⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:2652
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        42⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:592
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        43⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        
        PID:1772
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        44⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2400
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        45⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:320
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        46⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:1804
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        47⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2276
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        48⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:1152
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        49⤵
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:536
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        50⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:1348
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        51⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:1736
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        52⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:868
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        53⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2684
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        54⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        
        PID:2052
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        55⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:1724
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        56⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:3056
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        57⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        
        PID:2952
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        58⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:2236
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        59⤵
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2116
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        60⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2808
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        61⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:2084
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        62⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        
        PID:2896
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        63⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:2920
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        64⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1092
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        65⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        
        PID:2680
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        66⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2588
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        67⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2012
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        68⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:2672
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        69⤵
        Boot or Logon Autostart Execution: Active Setup
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:412
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        70⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        System Location Discovery: System Language Discovery
        
        PID:528
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        71⤵
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:760
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        72⤵
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2296
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        73⤵
        Boot or Logon Autostart Execution: Active Setup
        Adds Run key to start application
        
        PID:1116
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        74⤵
        Boot or Logon Autostart Execution: Active Setup
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:572
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        75⤵
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2428
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        76⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:456
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        77⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2120
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        78⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:2384
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        79⤵
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:1380
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        80⤵
        Boot or Logon Autostart Execution: Active Setup
        Drops file in System32 directory
        
        PID:1732
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        81⤵
        
        PID:1040
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        82⤵
        
        PID:1384
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        83⤵
        
        PID:924
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        84⤵
        
        PID:2416
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        85⤵
        
        PID:1692
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        86⤵
        
        PID:1508
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        87⤵
        
        PID:1600
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        88⤵
        
        PID:2912
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        89⤵
        
        PID:856
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        90⤵
        
        PID:2204
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        91⤵
        
        PID:2748
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        92⤵
        
        PID:2816
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        93⤵
        
        PID:2752
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        94⤵
        
        PID:2564
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        95⤵
        
        PID:2628
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        96⤵
        
        PID:2776
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        97⤵
        
        PID:3044
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        98⤵
        
        PID:2788
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        99⤵
        
        PID:1864
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        100⤵
        
        PID:1844
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        101⤵
        
        PID:1108
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        102⤵
        
        PID:2508
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        103⤵
        
        PID:528
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        104⤵
        
        PID:1856
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        105⤵
        
        PID:2044
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        106⤵
        
        PID:1808
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        107⤵
        
        PID:2192
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        108⤵
        
        PID:804
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        109⤵
        
        PID:1340
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        110⤵
        
        PID:2784
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        111⤵
        
        PID:1988
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        112⤵
        
        PID:2976
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        113⤵
        
        PID:1780
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        114⤵
        
        PID:1708
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        115⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        116⤵
        
        PID:868
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        117⤵
        
        PID:2964
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        118⤵
        
        PID:2328
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        119⤵
        
        PID:2520
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        120⤵
        
        PID:1796
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        121⤵
        
        PID:2732
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        122⤵
        
        PID:2004
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        123⤵
        
        PID:2020
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        124⤵
        
        PID:2728
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        125⤵
        
        PID:2888
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        126⤵
        
        PID:2288
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        127⤵
        
        PID:2568
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        128⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        129⤵
        
        PID:852
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        130⤵
        
        PID:1352
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        131⤵
        
        PID:1716
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        132⤵
        
        PID:2012
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        133⤵
        
        PID:1996
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        134⤵
        
        PID:1620
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        135⤵
        
        PID:2040
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        136⤵
        
        PID:2196
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        137⤵
        
        PID:1740
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        138⤵
        
        PID:1548
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        139⤵
        
        PID:592
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        140⤵
        
        PID:1156
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        141⤵
        
        PID:2796
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        142⤵
        
        PID:2284
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        143⤵
        
        PID:320
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        144⤵
        
        PID:584
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        145⤵
        
        PID:1152
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        146⤵
        
        PID:536
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        147⤵
        
        PID:640
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        148⤵
        
        PID:2552
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        149⤵
        
        PID:2188
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        150⤵
        
        PID:2320
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        151⤵
        
        PID:888
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        152⤵
        
        PID:1692
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        153⤵
        
        PID:1724
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        154⤵
        
        PID:2216
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        155⤵
        
        PID:2744
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        156⤵
        
        PID:2096
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        157⤵
        
        PID:2804
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        158⤵
        
        PID:2736
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        159⤵
        
        PID:1656
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        160⤵
        
        PID:1560
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        161⤵
        
        PID:2904
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        162⤵
        
        PID:2660
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        163⤵
        
        PID:2604
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        164⤵
        
        PID:2000
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        165⤵
        
        PID:980
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        166⤵
        
        PID:3048
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        167⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        168⤵
        
        PID:1016
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        169⤵
        
        PID:2848

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Active Setup

T1547.014

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Active Setup

T1547.014

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\svchost.exe

Filesize
807KB

MD5
a4d80406d9a09c897954b9fbfe9fb9af

SHA1
a4017e664efd2e1e7a3d5e5e771b4c6fcef587a8

SHA256
468e7bf4683f3683ead964271f0ff17902c0458040689431d8d8e9ba40b121c0

SHA512
546777c79f9018539e0223433fc13bf17544c1fc349efbf3dcc9e59828b184cf15c0c4f6331aa48d8ce405df68cf35cb35f6dff294e855a3ea7a672a3211d2c7

Download Submit
memory/320-111-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/436-52-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/524-91-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/536-115-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/592-108-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/868-118-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/952-69-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/972-106-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1032-85-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1092-130-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1152-114-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1264-105-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1312-102-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1348-116-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1420-66-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1512-88-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1572-92-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1616-84-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1632-57-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1724-121-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1736-117-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1764-86-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1772-109-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1804-112-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2052-120-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2084-127-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2084-24-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2096-19-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2116-125-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2224-90-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2236-124-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2276-113-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2276-78-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2372-104-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2372-48-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2400-110-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2424-74-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2476-83-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2540-103-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2568-98-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2572-43-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2600-40-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2604-100-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2652-107-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2664-101-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2684-119-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2712-95-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2720-99-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2760-96-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2808-126-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2856-60-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2888-28-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2896-128-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2900-32-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2916-35-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2920-129-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2952-123-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2956-97-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2988-87-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2996-89-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/3004-0-0x0000000000260000-0x0000000000261000-memory.dmp

Filesize
4KB

Download
memory/3004-15-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/3012-93-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/3024-94-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/3056-122-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads