468e7bf4683f3683ead964271f0ff17902c0458040689431d8d8e9ba40b121c0

Analysis

max time kernel
100s
max time network
121s
platform
windows10-2004_x64
resource
win10v2004-20240802-en
resource tags

arch:x64arch:x86image:win10v2004-20240802-enlocale:en-usos:windows10-2004-x64system
submitted
18/08/2024, 01:24

Sharing

Copy URL Twitter E-mail

Report Analysis Logs

General

Target

a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Size

807KB
MD5

a4d80406d9a09c897954b9fbfe9fb9af
SHA1

a4017e664efd2e1e7a3d5e5e771b4c6fcef587a8
SHA256

468e7bf4683f3683ead964271f0ff17902c0458040689431d8d8e9ba40b121c0
SHA512

546777c79f9018539e0223433fc13bf17544c1fc349efbf3dcc9e59828b184cf15c0c4f6331aa48d8ce405df68cf35cb35f6dff294e855a3ea7a672a3211d2c7
SSDEEP

12288:WsolIorqw9LltVaPLgEjYHx+2/SzzdX+/GU0N6mphZWbN6y1YrTP:U2XwZl+PUWYHxXCSGFphi1m7

Score

10^/10

discovery persistence

Malware Config

Signatures

Modifies WinLogon for persistence 2 TTPs 64 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "explorer.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe,C:\\Windows\\System32\\svchost.exe"	svchost.exe

Boot or Logon Autostart Execution: Active Setup 2 TTPs 64 IoCs

Adversaries may achieve persistence by adding a Registry key to the Active Setup of the local machine.

persistence

Active Setup

T1547.014

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}\StubPath = "C:\\Windows\\System32\\svchost.exe Restart"	svchost.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{W7TXQ-KRUWMQG-7QXMR-QJB0W2-972FESYUG}	svchost.exe

Checks computer location settings 2 TTPs 64 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1302416131-1437503476-2806442725-1000\Control Panel\International\Geo\Nation	svchost.exe

Executes dropped EXE 64 IoCs

pid	Process
2432	svchost.exe
368	svchost.exe
3912	svchost.exe
4588	svchost.exe
3972	svchost.exe
4992	svchost.exe
2148	svchost.exe
1232	svchost.exe
3712	svchost.exe
2952	svchost.exe
1896	svchost.exe
2572	svchost.exe
512	svchost.exe
2652	svchost.exe
3552	svchost.exe
1608	svchost.exe
4620	svchost.exe
2056	svchost.exe
3892	svchost.exe
932	svchost.exe
2312	svchost.exe
2180	svchost.exe
2972	svchost.exe
4980	svchost.exe
368	svchost.exe
4396	svchost.exe
3688	svchost.exe
3568	svchost.exe
4476	svchost.exe
4020	svchost.exe
2688	svchost.exe
1896	svchost.exe
3960	svchost.exe
4828	svchost.exe
1776	svchost.exe
4792	svchost.exe
4744	svchost.exe
4376	svchost.exe
3328	svchost.exe
3488	svchost.exe
1100	svchost.exe
3856	svchost.exe
1676	svchost.exe
2972	svchost.exe
424	svchost.exe
3964	svchost.exe
2012	svchost.exe
4968	svchost.exe
4456	svchost.exe
4568	svchost.exe
4996	svchost.exe
4404	svchost.exe
3660	svchost.exe
4624	svchost.exe
1620	svchost.exe
4148	svchost.exe
4140	svchost.exe
4428	svchost.exe
2328	svchost.exe
688	svchost.exe
4372	svchost.exe
4376	svchost.exe
4288	svchost.exe
3488	svchost.exe

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\msnmsgsr = "C:\\Windows\\System32\\svchost.exe"	svchost.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\svchost.exe	svchost.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe

Modifies registry class 64 IoCs

description	ioc	Process
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeIncreaseQuotaPrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeSecurityPrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeTakeOwnershipPrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeLoadDriverPrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeSystemProfilePrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeSystemtimePrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeProfSingleProcessPrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeIncBasePriorityPrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeCreatePagefilePrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeBackupPrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeRestorePrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeShutdownPrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeDebugPrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeSystemEnvironmentPrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeChangeNotifyPrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeRemoteShutdownPrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeUndockPrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeManageVolumePrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeImpersonatePrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeCreateGlobalPrivilege	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: 33	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: 34	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: 35	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: 36	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
Token: SeIncreaseQuotaPrivilege	2432	svchost.exe
Token: SeSecurityPrivilege	2432	svchost.exe
Token: SeTakeOwnershipPrivilege	2432	svchost.exe
Token: SeLoadDriverPrivilege	2432	svchost.exe
Token: SeSystemProfilePrivilege	2432	svchost.exe
Token: SeSystemtimePrivilege	2432	svchost.exe
Token: SeProfSingleProcessPrivilege	2432	svchost.exe
Token: SeIncBasePriorityPrivilege	2432	svchost.exe
Token: SeCreatePagefilePrivilege	2432	svchost.exe
Token: SeBackupPrivilege	2432	svchost.exe
Token: SeRestorePrivilege	2432	svchost.exe
Token: SeShutdownPrivilege	2432	svchost.exe
Token: SeDebugPrivilege	2432	svchost.exe
Token: SeSystemEnvironmentPrivilege	2432	svchost.exe
Token: SeChangeNotifyPrivilege	2432	svchost.exe
Token: SeRemoteShutdownPrivilege	2432	svchost.exe
Token: SeUndockPrivilege	2432	svchost.exe
Token: SeManageVolumePrivilege	2432	svchost.exe
Token: SeImpersonatePrivilege	2432	svchost.exe
Token: SeCreateGlobalPrivilege	2432	svchost.exe
Token: 33	2432	svchost.exe
Token: 34	2432	svchost.exe
Token: 35	2432	svchost.exe
Token: 36	2432	svchost.exe
Token: SeIncreaseQuotaPrivilege	368	svchost.exe
Token: SeSecurityPrivilege	368	svchost.exe
Token: SeTakeOwnershipPrivilege	368	svchost.exe
Token: SeLoadDriverPrivilege	368	svchost.exe
Token: SeSystemProfilePrivilege	368	svchost.exe
Token: SeSystemtimePrivilege	368	svchost.exe
Token: SeProfSingleProcessPrivilege	368	svchost.exe
Token: SeIncBasePriorityPrivilege	368	svchost.exe
Token: SeCreatePagefilePrivilege	368	svchost.exe
Token: SeBackupPrivilege	368	svchost.exe
Token: SeRestorePrivilege	368	svchost.exe
Token: SeShutdownPrivilege	368	svchost.exe
Token: SeDebugPrivilege	368	svchost.exe
Token: SeSystemEnvironmentPrivilege	368	svchost.exe
Token: SeChangeNotifyPrivilege	368	svchost.exe
Token: SeRemoteShutdownPrivilege	368	svchost.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1652 wrote to memory of 2432	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe	85
PID 1652 wrote to memory of 2432	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe	85
PID 1652 wrote to memory of 2432	1652	a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe	85
PID 2432 wrote to memory of 368	2432	svchost.exe	86
PID 2432 wrote to memory of 368	2432	svchost.exe	86
PID 2432 wrote to memory of 368	2432	svchost.exe	86
PID 368 wrote to memory of 3912	368	svchost.exe	88
PID 368 wrote to memory of 3912	368	svchost.exe	88
PID 368 wrote to memory of 3912	368	svchost.exe	88
PID 3912 wrote to memory of 4588	3912	svchost.exe	90
PID 3912 wrote to memory of 4588	3912	svchost.exe	90
PID 3912 wrote to memory of 4588	3912	svchost.exe	90
PID 4588 wrote to memory of 3972	4588	svchost.exe	91
PID 4588 wrote to memory of 3972	4588	svchost.exe	91
PID 4588 wrote to memory of 3972	4588	svchost.exe	91
PID 3972 wrote to memory of 4992	3972	svchost.exe	92
PID 3972 wrote to memory of 4992	3972	svchost.exe	92
PID 3972 wrote to memory of 4992	3972	svchost.exe	92
PID 4992 wrote to memory of 2148	4992	svchost.exe	95
PID 4992 wrote to memory of 2148	4992	svchost.exe	95
PID 4992 wrote to memory of 2148	4992	svchost.exe	95
PID 2148 wrote to memory of 1232	2148	svchost.exe	96
PID 2148 wrote to memory of 1232	2148	svchost.exe	96
PID 2148 wrote to memory of 1232	2148	svchost.exe	96
PID 1232 wrote to memory of 3712	1232	svchost.exe	97
PID 1232 wrote to memory of 3712	1232	svchost.exe	97
PID 1232 wrote to memory of 3712	1232	svchost.exe	97
PID 3712 wrote to memory of 2952	3712	svchost.exe	98
PID 3712 wrote to memory of 2952	3712	svchost.exe	98
PID 3712 wrote to memory of 2952	3712	svchost.exe	98
PID 2952 wrote to memory of 1896	2952	svchost.exe	125
PID 2952 wrote to memory of 1896	2952	svchost.exe	125
PID 2952 wrote to memory of 1896	2952	svchost.exe	125
PID 1896 wrote to memory of 2572	1896	svchost.exe	102
PID 1896 wrote to memory of 2572	1896	svchost.exe	102
PID 1896 wrote to memory of 2572	1896	svchost.exe	102
PID 2572 wrote to memory of 512	2572	svchost.exe	103
PID 2572 wrote to memory of 512	2572	svchost.exe	103
PID 2572 wrote to memory of 512	2572	svchost.exe	103
PID 512 wrote to memory of 2652	512	svchost.exe	104
PID 512 wrote to memory of 2652	512	svchost.exe	104
PID 512 wrote to memory of 2652	512	svchost.exe	104
PID 2652 wrote to memory of 3552	2652	svchost.exe	105
PID 2652 wrote to memory of 3552	2652	svchost.exe	105
PID 2652 wrote to memory of 3552	2652	svchost.exe	105
PID 3552 wrote to memory of 1608	3552	svchost.exe	106
PID 3552 wrote to memory of 1608	3552	svchost.exe	106
PID 3552 wrote to memory of 1608	3552	svchost.exe	106
PID 1608 wrote to memory of 4620	1608	svchost.exe	107
PID 1608 wrote to memory of 4620	1608	svchost.exe	107
PID 1608 wrote to memory of 4620	1608	svchost.exe	107
PID 4620 wrote to memory of 2056	4620	svchost.exe	108
PID 4620 wrote to memory of 2056	4620	svchost.exe	108
PID 4620 wrote to memory of 2056	4620	svchost.exe	108
PID 2056 wrote to memory of 3892	2056	svchost.exe	109
PID 2056 wrote to memory of 3892	2056	svchost.exe	109
PID 2056 wrote to memory of 3892	2056	svchost.exe	109
PID 3892 wrote to memory of 932	3892	svchost.exe	111
PID 3892 wrote to memory of 932	3892	svchost.exe	111
PID 3892 wrote to memory of 932	3892	svchost.exe	111
PID 932 wrote to memory of 2312	932	svchost.exe	112
PID 932 wrote to memory of 2312	932	svchost.exe	112
PID 932 wrote to memory of 2312	932	svchost.exe	112
PID 2312 wrote to memory of 2180	2312	svchost.exe	113

C:\Users\Admin\AppData\Local\Temp\a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\a4d80406d9a09c897954b9fbfe9fb9af_JaffaCakes118.exe"
1⤵
- Adds Run key to start application
- Modifies registry class
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:1652
- C:\Windows\SysWOW64\svchost.exe
  "C:\Windows\System32\svchost.exe"
  2⤵
  - Modifies WinLogon for persistence
  - Checks computer location settings
  - Executes dropped EXE
  - Adds Run key to start application
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:2432
- - C:\Windows\SysWOW64\svchost.exe
    "C:\Windows\System32\svchost.exe"
    3⤵
    - Boot or Logon Autostart Execution: Active Setup
    - Checks computer location settings
    - Executes dropped EXE
    - Drops file in System32 directory
    - System Location Discovery: System Language Discovery
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:368
  - - C:\Windows\SysWOW64\svchost.exe
      "C:\Windows\System32\svchost.exe"
      4⤵
      Executes dropped EXE
      Drops file in System32 directory
      Modifies registry class
      Suspicious use of WriteProcessMemory
      PID:3912
    - - C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        5⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:4588
      - C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        6⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3972
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        7⤵
        Boot or Logon Autostart Execution: Active Setup
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of WriteProcessMemory
        
        PID:4992
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Checks computer location settings
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:2148
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        9⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of WriteProcessMemory
        
        PID:1232
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        10⤵
        Boot or Logon Autostart Execution: Active Setup
        Checks computer location settings
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Modifies registry class
        Suspicious use of WriteProcessMemory
        
        PID:3712
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        11⤵
        Checks computer location settings
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:2952
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        12⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Modifies registry class
        Suspicious use of WriteProcessMemory
        
        PID:1896
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        13⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:2572
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        14⤵
        Boot or Logon Autostart Execution: Active Setup
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:512
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        15⤵
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:2652
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        16⤵
        Boot or Logon Autostart Execution: Active Setup
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of WriteProcessMemory
        
        PID:3552
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        17⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:1608
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        18⤵
        Executes dropped EXE
        Modifies registry class
        Suspicious use of WriteProcessMemory
        
        PID:4620
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        19⤵
        Executes dropped EXE
        Adds Run key to start application
        Modifies registry class
        Suspicious use of WriteProcessMemory
        
        PID:2056
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        20⤵
        Executes dropped EXE
        Modifies registry class
        Suspicious use of WriteProcessMemory
        
        PID:3892
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        21⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:932
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        22⤵
        Checks computer location settings
        Executes dropped EXE
        Modifies registry class
        Suspicious use of WriteProcessMemory
        
        PID:2312
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        23⤵
        Checks computer location settings
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:2180
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        24⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:2972
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        25⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        
        PID:4980
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        26⤵
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:368
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        27⤵
        Executes dropped EXE
        Adds Run key to start application
        
        PID:4396
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        28⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:3688
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        29⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        Modifies registry class
        
        PID:3568
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        30⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:4476
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        31⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:4020
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        32⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:2688
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        33⤵
        Executes dropped EXE
        Modifies registry class
        
        PID:1896
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        34⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        
        PID:3960
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        35⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Drops file in System32 directory
        Modifies registry class
        
        PID:4828
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        36⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Modifies registry class
        
        PID:1776
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        37⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        
        PID:4792
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        38⤵
        Executes dropped EXE
        Adds Run key to start application
        
        PID:4744
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        39⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:4376
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        40⤵
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:3328
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        41⤵
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:3488
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        42⤵
        Executes dropped EXE
        
        PID:1100
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        43⤵
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:3856
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        44⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:1676
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        45⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        
        PID:2972
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        46⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:424
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        47⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:3964
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        48⤵
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2012
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        49⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:4968
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        50⤵
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:4456
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        51⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:4568
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        52⤵
        Checks computer location settings
        Executes dropped EXE
        
        PID:4996
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        53⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Modifies registry class
        
        PID:4404
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        54⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        
        PID:3660
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        55⤵
        Checks computer location settings
        Executes dropped EXE
        
        PID:4624
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        56⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1620
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        57⤵
        Executes dropped EXE
        Adds Run key to start application
        Modifies registry class
        
        PID:4148
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        58⤵
        Executes dropped EXE
        Modifies registry class
        
        PID:4140
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        59⤵
        Executes dropped EXE
        
        PID:4428
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        60⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Modifies registry class
        
        PID:2328
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        61⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Modifies registry class
        
        PID:688
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        62⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Checks computer location settings
        Executes dropped EXE
        
        PID:4372
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        63⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Adds Run key to start application
        Modifies registry class
        
        PID:4376
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        64⤵
        Boot or Logon Autostart Execution: Active Setup
        Checks computer location settings
        Executes dropped EXE
        
        PID:4288
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        65⤵
        Boot or Logon Autostart Execution: Active Setup
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:3488
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        66⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        
        PID:1716
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        67⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:744
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        68⤵
        Modifies WinLogon for persistence
        
        PID:2384
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        69⤵
        Checks computer location settings
        
        PID:3880
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        70⤵
        Boot or Logon Autostart Execution: Active Setup
        Adds Run key to start application
        Modifies registry class
        
        PID:2088
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        71⤵
        
        PID:4588
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        72⤵
        Modifies WinLogon for persistence
        
        PID:2392
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        73⤵
        Checks computer location settings
        Modifies registry class
        
        PID:1488
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        74⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:3156
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        75⤵
        Adds Run key to start application
        
        PID:3536
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        76⤵
        Checks computer location settings
        System Location Discovery: System Language Discovery
        
        PID:4772
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        77⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:2572
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        78⤵
        Boot or Logon Autostart Execution: Active Setup
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:2344
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        79⤵
        Boot or Logon Autostart Execution: Active Setup
        
        PID:2676
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        80⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:1948
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        81⤵
        Modifies registry class
        
        PID:4112
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        82⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1360
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        83⤵
        Boot or Logon Autostart Execution: Active Setup
        
        PID:2220
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        84⤵
        Checks computer location settings
        Modifies registry class
        
        PID:4360
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        85⤵
        Modifies WinLogon for persistence
        System Location Discovery: System Language Discovery
        
        PID:4688
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        86⤵
        Boot or Logon Autostart Execution: Active Setup
        System Location Discovery: System Language Discovery
        
        PID:2804
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        87⤵
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:2312
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        88⤵
        Modifies registry class
        
        PID:4792
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        89⤵
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2380
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        90⤵
        
        PID:544
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        91⤵
        Boot or Logon Autostart Execution: Active Setup
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:4472
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        92⤵
        Checks computer location settings
        
        PID:712
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        93⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:5080
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        94⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:4708
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        95⤵
        Modifies WinLogon for persistence
        
        PID:836
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        96⤵
        
        PID:5000
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        97⤵
        Modifies WinLogon for persistence
        
        PID:2336
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        98⤵
        Checks computer location settings
        
        PID:1472
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        99⤵
        Checks computer location settings
        Drops file in System32 directory
        
        PID:4912
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        100⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Drops file in System32 directory
        
        PID:2916
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        101⤵
        Boot or Logon Autostart Execution: Active Setup
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:1184
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        102⤵
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:4624
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        103⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Drops file in System32 directory
        
        PID:3416
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        104⤵
        Boot or Logon Autostart Execution: Active Setup
        
        PID:3312
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        105⤵
        Checks computer location settings
        System Location Discovery: System Language Discovery
        
        PID:2992
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        106⤵
        Boot or Logon Autostart Execution: Active Setup
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:1776
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        107⤵
        Checks computer location settings
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:3448
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        108⤵
        
        PID:1696
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        109⤵
        
        PID:60
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        110⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1536
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        111⤵
        Modifies registry class
        
        PID:3680
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        112⤵
        System Location Discovery: System Language Discovery
        
        PID:4316
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        113⤵
        Boot or Logon Autostart Execution: Active Setup
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2804
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        114⤵
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:2312
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        115⤵
        Boot or Logon Autostart Execution: Active Setup
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:4792
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        116⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        System Location Discovery: System Language Discovery
        
        PID:3492
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        117⤵
        Boot or Logon Autostart Execution: Active Setup
        Checks computer location settings
        
        PID:4088
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        118⤵
        Drops file in System32 directory
        
        PID:4356
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        119⤵
        Modifies WinLogon for persistence
        Modifies registry class
        
        PID:2384
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        120⤵
        Drops file in System32 directory
        
        PID:3672
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        121⤵
        Adds Run key to start application
        
        PID:4708
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        122⤵
        Adds Run key to start application
        
        PID:4516
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        123⤵
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2200
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        124⤵
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:5068
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        125⤵
        
        PID:4052
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        126⤵
        Modifies WinLogon for persistence
        System Location Discovery: System Language Discovery
        
        PID:3732
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        127⤵
        Boot or Logon Autostart Execution: Active Setup
        Adds Run key to start application
        Modifies registry class
        
        PID:1624
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        128⤵
        Modifies WinLogon for persistence
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:4380
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        129⤵
        Boot or Logon Autostart Execution: Active Setup
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:3556
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        130⤵
        Checks computer location settings
        Drops file in System32 directory
        
        PID:1824
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        131⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        
        PID:1956
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        132⤵
        Checks computer location settings
        
        PID:552
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        133⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:1360
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        134⤵
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:1920
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        135⤵
        
        PID:4988
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        136⤵
        
        PID:2632
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        137⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Modifies registry class
        
        PID:3488
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        138⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Modifies registry class
        
        PID:868
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        139⤵
        
        PID:2004
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        140⤵
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:1652
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        141⤵
        Checks computer location settings
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:4980
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        142⤵
        Checks computer location settings
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:4780
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        143⤵
        Boot or Logon Autostart Execution: Active Setup
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:5020
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        144⤵
        
        PID:2668
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        145⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Drops file in System32 directory
        Modifies registry class
        
        PID:3672
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        146⤵
        Checks computer location settings
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2968
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        147⤵
        Boot or Logon Autostart Execution: Active Setup
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:1752
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        148⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:1232
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        149⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:2416
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        150⤵
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:1800
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        151⤵
        Modifies WinLogon for persistence
        
        PID:4912
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        152⤵
        Boot or Logon Autostart Execution: Active Setup
        Checks computer location settings
        Drops file in System32 directory
        
        PID:1940
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        153⤵
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2948
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        154⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Checks computer location settings
        
        PID:2156
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        155⤵
        
        PID:4824
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        156⤵
        Boot or Logon Autostart Execution: Active Setup
        Drops file in System32 directory
        
        PID:4828
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        157⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        Modifies registry class
        
        PID:4460
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        158⤵
        Boot or Logon Autostart Execution: Active Setup
        Checks computer location settings
        
        PID:3040
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        159⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:3800
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        160⤵
        Adds Run key to start application
        
        PID:688
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        161⤵
        Modifies WinLogon for persistence
        Boot or Logon Autostart Execution: Active Setup
        Modifies registry class
        
        PID:2752
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        162⤵
        Modifies WinLogon for persistence
        Modifies registry class
        
        PID:4288
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        163⤵
        
        PID:4060
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        164⤵
        Boot or Logon Autostart Execution: Active Setup
        System Location Discovery: System Language Discovery
        
        PID:4312
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        165⤵
        
        PID:1228
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        166⤵
        Boot or Logon Autostart Execution: Active Setup
        Adds Run key to start application
        
        PID:1068
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        167⤵
        Checks computer location settings
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:3668
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        168⤵
        Boot or Logon Autostart Execution: Active Setup
        Checks computer location settings
        Modifies registry class
        
        PID:4700
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        169⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Drops file in System32 directory
        
        PID:1676
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        170⤵
        Modifies WinLogon for persistence
        System Location Discovery: System Language Discovery
        
        PID:3912
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        171⤵
        Boot or Logon Autostart Execution: Active Setup
        Checks computer location settings
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:1708
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        172⤵
        Checks computer location settings
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:3108
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        173⤵
        Adds Run key to start application
        
        PID:5080
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        174⤵
        Boot or Logon Autostart Execution: Active Setup
        Modifies registry class
        
        PID:1200
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        175⤵
        System Location Discovery: System Language Discovery
        
        PID:3620
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        176⤵
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:4996
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        177⤵
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:2392
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        178⤵
        Boot or Logon Autostart Execution: Active Setup
        Checks computer location settings
        Drops file in System32 directory
        
        PID:1472
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        179⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:4500
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        180⤵
        
        PID:2680
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        181⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        
        PID:2916
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        182⤵
        Adds Run key to start application
        
        PID:2232
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        183⤵
        Drops file in System32 directory
        
        PID:4624
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        184⤵
        Modifies registry class
        
        PID:3296
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        185⤵
        Boot or Logon Autostart Execution: Active Setup
        Checks computer location settings
        Adds Run key to start application
        
        PID:2480
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        186⤵
        Boot or Logon Autostart Execution: Active Setup
        Checks computer location settings
        Modifies registry class
        
        PID:5024
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        187⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2748
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        188⤵
        Boot or Logon Autostart Execution: Active Setup
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:60
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        189⤵
        Boot or Logon Autostart Execution: Active Setup
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:2752
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        190⤵
        Boot or Logon Autostart Execution: Active Setup
        Drops file in System32 directory
        Modifies registry class
        
        PID:3180
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        191⤵
        Boot or Logon Autostart Execution: Active Setup
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:3704
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        192⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:3204
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        193⤵
        
        PID:212
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        194⤵
        
        PID:2004
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        195⤵
        
        PID:1716
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        196⤵
        
        PID:4080
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        197⤵
        
        PID:3548
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        198⤵
        
        PID:2644
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        199⤵
        
        PID:4860
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        200⤵
        
        PID:4708
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        201⤵
        
        PID:2200
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        202⤵
        
        PID:4920
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        203⤵
        
        PID:4684
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        204⤵
        
        PID:1512
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        205⤵
        
        PID:1896
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        206⤵
        
        PID:1020
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        207⤵
        
        PID:3264
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        208⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        209⤵
        
        PID:4768
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        210⤵
        
        PID:4460
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        211⤵
        
        PID:2220
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        212⤵
        
        PID:1196
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        213⤵
        
        PID:4976
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        214⤵
        
        PID:1720
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        215⤵
        
        PID:3796
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        216⤵
        
        PID:4340
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        217⤵
        
        PID:2368
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        218⤵
        
        PID:4376
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        219⤵
        
        PID:1676
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        220⤵
        
        PID:3912
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        221⤵
        
        PID:2088
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        222⤵
        
        PID:3548
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        223⤵
        
        PID:608
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        224⤵
        
        PID:4916
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        225⤵
        
        PID:4044
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        226⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        227⤵
        
        PID:2396
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        228⤵
        
        PID:740
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        229⤵
        
        PID:2352
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        230⤵
        
        PID:3536
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        231⤵
        
        PID:2552
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        232⤵
        
        PID:1512
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        233⤵
        
        PID:1896
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        234⤵
        
        PID:1120
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        235⤵
        
        PID:4884
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        236⤵
        
        PID:5024
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        237⤵
        
        PID:3648
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        238⤵
        
        PID:4316
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        239⤵
        
        PID:2892
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        240⤵
        
        PID:676
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        241⤵
        
        PID:4620
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        242⤵
        
        PID:3720
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        243⤵
        
        PID:3492
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        244⤵
        
        PID:4408
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        245⤵
        
        PID:2728
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        246⤵
        
        PID:3808
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        247⤵
        
        PID:3108
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        248⤵
        
        PID:3972
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        249⤵
        
        PID:836
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        250⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        251⤵
        
        PID:5068
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        252⤵
        
        PID:2200
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        253⤵
        
        PID:3968
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        254⤵
        
        PID:3960
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        255⤵
        
        PID:1912
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        256⤵
        
        PID:3732
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        257⤵
        
        PID:4048
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        258⤵
        
        PID:4284
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        259⤵
        
        PID:4428
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        260⤵
        
        PID:1772
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        261⤵
        
        PID:1700
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        262⤵
        
        PID:2844
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        263⤵
        
        PID:3180
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        264⤵
        
        PID:868
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        265⤵
        
        PID:3904
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        266⤵
        
        PID:1068
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        267⤵
        
        PID:2992
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        268⤵
        
        PID:3664
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        269⤵
        
        PID:4616
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        270⤵
        
        PID:4080
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        271⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        272⤵
        
        PID:2620
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        273⤵
        
        PID:2840
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        274⤵
        
        PID:1372
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        275⤵
        
        PID:1112
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        276⤵
        
        PID:3932
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        277⤵
        
        PID:1972
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        278⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        279⤵
        
        PID:4524
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        280⤵
        
        PID:2948
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        281⤵
        
        PID:1028
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        282⤵
        
        PID:1472
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        283⤵
        
        PID:1048
        
        C:\Windows\SysWOW64\svchost.exe
        
        "C:\Windows\System32\svchost.exe"
        284⤵
        
        PID:3996

C:\Windows\system32\BackgroundTransferHost.exe
"BackgroundTransferHost.exe" -ServerName:BackgroundTransferHost.1
1⤵
PID:2668

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Active Setup

T1547.014

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Active Setup

T1547.014

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\svchost.exe

Filesize
807KB

MD5
a4d80406d9a09c897954b9fbfe9fb9af

SHA1
a4017e664efd2e1e7a3d5e5e771b4c6fcef587a8

SHA256
468e7bf4683f3683ead964271f0ff17902c0458040689431d8d8e9ba40b121c0

SHA512
546777c79f9018539e0223433fc13bf17544c1fc349efbf3dcc9e59828b184cf15c0c4f6331aa48d8ce405df68cf35cb35f6dff294e855a3ea7a672a3211d2c7

Download Submit
memory/368-90-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/368-43-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/424-117-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/512-65-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/688-132-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/932-80-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1100-113-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1232-55-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1608-72-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1620-127-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1652-0-0x00000000022A0000-0x00000000022A1000-memory.dmp

Filesize
4KB

Download
memory/1652-39-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1676-115-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1776-107-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1896-61-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/1896-104-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2012-119-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2056-76-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2148-53-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2180-84-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2312-82-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2328-131-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2432-38-0x0000000002470000-0x0000000002471000-memory.dmp

Filesize
4KB

Download
memory/2432-41-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2572-63-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2652-68-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2688-102-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2952-59-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2972-86-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/2972-116-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/3328-111-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/3488-112-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/3552-70-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/3568-96-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/3660-125-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/3688-94-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/3712-57-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/3856-114-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/3892-78-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/3912-45-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/3960-105-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/3964-118-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/3972-49-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4020-100-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4140-129-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4148-128-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4288-135-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4372-133-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4376-110-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4376-134-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4396-92-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4404-124-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4428-130-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4456-121-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4476-98-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4568-122-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4588-47-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4620-74-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4624-126-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4744-109-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4792-108-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4828-106-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4968-120-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4980-88-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4992-51-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download
memory/4996-123-0x0000000000400000-0x00000000004D5000-memory.dmp

Filesize
852KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads