Analysis Overview
SHA256
689c7da173720b83070103d08258b6bb915bf27b18f72470f3b6be44384a6fdb
Threat Level: Known bad
The file c5c629149afc21a3b2f48884e76611d0N.exe was found to be: Known bad.
Malicious Activity Summary
CyberGate, Rebhip
Modifies WinLogon for persistence
Darkcomet
Boot or Logon Autostart Execution: Active Setup
Adds policy Run key to start application
Checks BIOS information in registry
Loads dropped DLL
Executes dropped EXE
Adds Run key to start application
Drops file in System32 directory
Enumerates physical storage devices
System Location Discovery: System Language Discovery
Unsigned PE
Suspicious use of AdjustPrivilegeToken
Enumerates system info in registry
Suspicious behavior: EnumeratesProcesses
Suspicious behavior: GetForegroundWindowSpam
Suspicious use of FindShellTrayWindow
Checks processor information in registry
Suspicious use of WriteProcessMemory
MITRE ATT&CK
Enterprise Matrix V15
Analysis: static1
Detonation Overview
Reported
2024-08-30 13:38
Signatures
Unsigned PE
| Description | Indicator | Process | Target |
| N/A | N/A | N/A | N/A |
Analysis: behavioral1
Detonation Overview
Submitted
2024-08-30 13:38
Reported
2024-08-30 13:41
Platform
win7-20240704-en
Max time kernel
101s
Max time network
18s
Command Line
Signatures
CyberGate, Rebhip
Darkcomet
Modifies WinLogon for persistence
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
Adds policy Run key to start application
| Description | Indicator | Process | Target |
| Key created | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies = "C:\\Windows\\system32\\Engine\\iexplore.exe" | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key created | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies = "C:\\Windows\\system32\\Engine\\iexplore.exe" | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
Boot or Logon Autostart Execution: Active Setup
| Description | Indicator | Process | Target |
| Key created | \REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{2AAU5G25-1Q2Q-L60A-MW27-P2300DU1H161} | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{2AAU5G25-1Q2Q-L60A-MW27-P2300DU1H161}\StubPath = "C:\\Windows\\system32\\Engine\\iexplore.exe Restart" | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key created | \REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{2AAU5G25-1Q2Q-L60A-MW27-P2300DU1H161} | C:\Windows\SysWOW64\explorer.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{2AAU5G25-1Q2Q-L60A-MW27-P2300DU1H161}\StubPath = "C:\\Windows\\system32\\Engine\\iexplore.exe" | C:\Windows\SysWOW64\explorer.exe | N/A |
Checks BIOS information in registry
| Description | Indicator | Process | Target |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
Executes dropped EXE
Loads dropped DLL
Adds Run key to start application
| Description | Indicator | Process | Target |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe | N/A |
| Set value (str) | \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\HKLM = "C:\\Windows\\system32\\Engine\\iexplore.exe" | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\HKCU = "C:\\Windows\\system32\\Engine\\iexplore.exe" | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Set value (str) | \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
Drops file in System32 directory
| Description | Indicator | Process | Target |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File created | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File created | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File created | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File created | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File created | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Engine\iexplore.exe | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File created | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File created | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File created | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File created | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File created | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\Engine\ | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| File created | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File created | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File created | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| File opened for modification | C:\Windows\SysWOW64\WindowsUpdate\ | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
Enumerates physical storage devices
System Location Discovery: System Language Discovery
| Description | Indicator | Process | Target |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
Checks processor information in registry
| Description | Indicator | Process | Target |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key opened | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
Enumerates system info in registry
| Description | Indicator | Process | Target |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
| Key value queried | \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier | C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe | N/A |
Suspicious behavior: EnumeratesProcesses
Suspicious behavior: GetForegroundWindowSpam
| Description | Indicator | Process | Target |
| N/A | N/A | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
Suspicious use of AdjustPrivilegeToken
Suspicious use of FindShellTrayWindow
| Description | Indicator | Process | Target |
| N/A | N/A | C:\Users\Admin\AppData\Local\Temp\3.EXE | N/A |
Suspicious use of WriteProcessMemory
Processes
C:\Windows\Explorer.EXE
C:\Windows\Explorer.EXE
C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe
"C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\explorer.exe
explorer.exe
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\Engine\iexplore.exe
"C:\Windows\system32\Engine\iexplore.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"
C:\Users\Admin\AppData\Local\Temp\3.EXE
"C:\Users\Admin\AppData\Local\Temp\3.EXE"
Network
| Country | Destination | Domain | Proto |
| US | 8.8.8.8:53 | sdsf1123.no-ip.biz | udp |
Files
memory/2424-0-0x00000000002E0000-0x00000000002E1000-memory.dmp
memory/2424-1-0x0000000002040000-0x0000000002124000-memory.dmp
memory/2424-2-0x0000000000401000-0x0000000000455000-memory.dmp
memory/2424-7-0x0000000000400000-0x00000000007A2000-memory.dmp
memory/2424-8-0x0000000000400000-0x00000000007A2000-memory.dmp
\Users\Admin\AppData\Local\Temp\3.EXE
| MD5 | 7a6fb1ca33a4d24886f5cffed3dbb29e |
| SHA1 | b348d2b89a0273cfec1940a41900ef0e1ea82c70 |
| SHA256 | 785e90c015118e3f067b603d7e212db4c6717d35a85f4024059b59d3a8af4c44 |
| SHA512 | 95eccea091e27701d665cb67c13216c8542c89746224944bf2fdb3c49c687a761db20a277595375c32928c534ef4f5419beaa15431177bf3982c827a5a148631 |
memory/2424-16-0x0000000000400000-0x00000000007A2000-memory.dmp
memory/1200-22-0x0000000002A80000-0x0000000002A81000-memory.dmp
\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe
| MD5 | c5c629149afc21a3b2f48884e76611d0 |
| SHA1 | f5e9c57257f6ffe735462d719ce3a341b53334a0 |
| SHA256 | 689c7da173720b83070103d08258b6bb915bf27b18f72470f3b6be44384a6fdb |
| SHA512 | 52573dd2cd70dc4c769e6e275215ee73cf3871bb3c479038714e5177a977e51d83749405f00d9f6d6bc9cf2bd2419e1a5e463ec9f3437f2757f105442b380d88 |
memory/2424-323-0x0000000000400000-0x00000000007A2000-memory.dmp
C:\Users\Admin\AppData\Local\Temp\Admin2.txt
| MD5 | 49dfd2df72832e0a0567204ee63f28b6 |
| SHA1 | 422ebacf20f65f75801530f25412035b61059b16 |
| SHA256 | 95472d7bdde50640f878e5e090cbf13819f79cac96173a3196e82ddcb5cb46e6 |
| SHA512 | 76ca545949bb8d8f3350ff9dae134da8b5ff0c5151471a1997a92553fc6a0da113ca27461db489fe8f2949f70e9c7504aff63972902fea9711efd1ebf77c7e2c |
C:\Users\Admin\AppData\Roaming\Adminlog.dat
| MD5 | bf3dba41023802cf6d3f8c5fd683a0c7 |
| SHA1 | 466530987a347b68ef28faad238d7b50db8656a5 |
| SHA256 | 4a8e75390856bf822f492f7f605ca0c21f1905172f6d3ef610162533c140507d |
| SHA512 | fec60f447dcc90753d693014135e24814f6e8294f6c0f436bc59d892b24e91552108dba6cf5a6fa7c0421f6d290d1bafee9f9f2d95ea8c4c05c2ad0f7c1bb314 |
\??\PIPE\srvsvc
| MD5 | d41d8cd98f00b204e9800998ecf8427e |
| SHA1 | da39a3ee5e6b4b0d3255bfef95601890afd80709 |
| SHA256 | e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 |
| SHA512 | cf83e1357eefb8bdf1542850d66d8007d620e4050b5715dc83f4a921d36ce9ce47d0d13c5d85f2b0ff8318d2877eec2f63b931bd47417a81a538327af927da3e |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 4da7fd7a089e03e3cc270e5f836c284f |
| SHA1 | 1a047921bca5febeec68135667c432b7f76090f9 |
| SHA256 | 59df1e8abfbb9331c4cde48b16dce026664a1465450164fe986a3b2b76fadbc6 |
| SHA512 | c7369f5d15d8c31756142b259ac971179bd51ef4133e8a323289249c73f33d6059ed84dddd66d32234e2c89900649eb451a7ff0e8a47bbd64e5db0b6e9a79bf9 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 2ffb9240a55f2fd754997ea9b4107819 |
| SHA1 | 3e09f59cb835893c9cfb2a3581f0d8d2c4421ca8 |
| SHA256 | 7e3921580d9cac498d3004ee4c57fea40d3a931da2ed84cbc828b11c5e452a4f |
| SHA512 | e864b8ab8659011b7a59bed15997d74c61aebd92669fdfcfa34da3286996496a414ec6af07fa67e9cf4e9bf3709090cfc8b16dd3da3295d85645f6b34fc9f514 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 82b5b68709aa0c81660d0c52633558ff |
| SHA1 | 82e994bda59779443fab2cdef1119b0d6b69a843 |
| SHA256 | 2811ddd947d9c9ae9e1e0f1a0c46834dd1eba5e96a46cc9093c05cf928d5df7f |
| SHA512 | 4a03b9ae5c172ab0bd5fa3de0b6c6a2a72780eabfbce514acb084d36d17fef0c64c0e5716c4c89f9db2aac733da9545e6dd1c89bd2ee353b270891bda23758b7 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 172298910d02f9e1bacb140f6f3524c8 |
| SHA1 | 5af45016e2431d532727901cb121f4cbd9debfd5 |
| SHA256 | 2d4e0f2544f6b6c64471ad118be724c90a5c65d0f71925624103e4a086c988a3 |
| SHA512 | 71392576be08acde80399084da87b8552e957e27db5cf88ab57bc5eb258eb5b5627e688cbe56064b8f1d9ace39751f76d732100a39d304ef1faa704227066b8d |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | de570edb24d7d8f9c61dccd88df9a06f |
| SHA1 | 1678f9014a1155ca0dca6e3f43f82b3c969d2fda |
| SHA256 | a19ea86996fa54564386d3ea3bcd835c009da0b69342ab7f8a89e0c949734ddb |
| SHA512 | 79805ebf0e34fed9ebbfaf51e9f5eae75d829c9b19d3224f111a10d6b80ddedbb535e8ccbdfe34a5b572b1ca1f64197f96c5e0710e4425f7692208bb178cc893 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 06416cf93f12e3f5b5db7aff24aa274d |
| SHA1 | 1aa419782b88704826c1f29fc8d07853b104c5c8 |
| SHA256 | 42417e78f0d15b8cd3d055bc7479ecc15f2f3f37ca01ad0970f41f775c8db24b |
| SHA512 | eb07c2568eee3ab10e07939f4a4c5934e8d7aa3042db7c2d952373c39c4051f745f9144674fee92fcba962a46aebc7159b441ee3b80463449f2907133d4d09d7 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 5b118c413d82e3e823fb8dad6c1c5ad0 |
| SHA1 | 20001e0226e3579d7ffc0936b362e468900de9c1 |
| SHA256 | 22a20e4ab2012942f377158cbfb76c3b6d86a4d71f606af49340e0c5d23297b5 |
| SHA512 | bdcc6e4e553c00c71ad9cf65da7491069deb03ab00b4dd3198c475f6b3f1c119086ee439970a973724c5a233f6774ad977ffe6a777d5928d848c0338a7b2f0ea |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 316b02764d92c6fb659fccdc87e95b97 |
| SHA1 | 43aa3e44e12135ae167247df44bad260653937e5 |
| SHA256 | 6711aead3b90fbeb5a360648374b395b4c66e5785d5f9b5998792cb24c27febb |
| SHA512 | 05ec7319c17b71dd649f2224fa5ecf8d51a419bf6f89345c06fe39b1f7ec523b215a5fd5cc5626bd9a5b1dbe925517737c786af8222da8cc323a7ff2eccdbd6c |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | a1694587c28c8c76093d72ca44b3dad3 |
| SHA1 | 25d0419587afa8da907b10cf65fc14ade1774dbb |
| SHA256 | f4a751b22deef16ff288ee9bc56cde65d20c80453e9988d578e45a1b806188cd |
| SHA512 | 7e0dcb16edc77a696e30e4e229f6efcd594e8a2d9f69fe472bd4cc3c385f3d0a980f7864c9fade970dd020ed7310bb4e79c0a03fdf599e4829cc7f4cbece64a5 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | b737731058a59be1ac92bbc5874283dd |
| SHA1 | 0a1a576b1615f30a6ab1d953ed77e31ffdde03d8 |
| SHA256 | 561a979c5f46be3c0471fd1acd86e6b4a80300504031dce76c2fa88398ba5e11 |
| SHA512 | e22b58233fffb63bbd7d6054dd95a1c294023f7db6af98fb887bdde8e8ec7bd9d88db4469c6368c16a98fdf9b4482612d644acb5cf1c72d11d279125c693c692 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | b0964671a9a01e297b200983fccfe81e |
| SHA1 | 1333cd226b082b98efbcc62235977ac2bb8bd28c |
| SHA256 | 3eeea8731eaa326153623f690f0bbcd3ec4e6ae69b1cfa1769efa3e2ed9a3b7e |
| SHA512 | f4a42cb3d95934941b1534c271f2a325b1830b3ec5debc606e3a72587b670ccc508047fcf02e928e1d53539e2bcb4bb15457b64f9e3074281896d4db94400b84 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 1c47b0c200e548ee3e5677707a49c7ad |
| SHA1 | 5710bfd29c2a8efad8033a5a1711615d2036774c |
| SHA256 | ee224c1f15653b4200e9b799f9b9010dde93b5405918147a0729593f426bc21f |
| SHA512 | da86fbb6b83752a6f5f7bdedb38eefa3145d16c49564bd905ba7ecc61ab7d14a1b9a968c2e298abf0e1c94762ea02f9dffd92fe19fb46cfa59b6783e01858199 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 521d0e17e3b7dd6f90108e04ddedfd95 |
| SHA1 | 27f4683e7f7c6e0279c0b7b95a6f1a00247d27c6 |
| SHA256 | 2ff807aed54b567c7737fad9628ff196f235dca736ed0689c150fe648b4d2a3c |
| SHA512 | 556382c21d4ac83ace097283185b1853e0ebc0c87b16980ec385a99205f6d3262e844a3cdbd2e24b3a93c36e8ad8c17fa2a1f99a40eb380277f1201d6d7a4871 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | fb5fc1a7e9fdf8fc7978ea492e1e8795 |
| SHA1 | bb352c4fae411a1139862bdc7dcaa0602239ecdb |
| SHA256 | 561e3b9831fa98a23e620937478d67a1ca386483500fdbdff0fca07ba70f2902 |
| SHA512 | 17355847fafde7f083fadd7247e8a1fe5a4c7712fa41ef445583eace9a445f16697e19b05f211522562593b63124217186a6f9c77ab7ffaf3d84675c6c5af002 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 770b89169d475aa1b3078b0fe063d47f |
| SHA1 | 6b18eb25a8fb240be44c41033ad30f358c5b7a89 |
| SHA256 | 9356c5b37ec88aab6a1ca86137625c670e21876d41688983433b969a8cf0cef9 |
| SHA512 | 3a8643740a4c5d446ee2ef32e2a8b2b6021943a40108b213434c56871912f1f0845469794addb898749ae0b4778fdbfcaeb6a9a00b52eea44b99b754293617e5 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 4e06cea4b44864bafd4c59eec36668a2 |
| SHA1 | 2c4800707e679518dcd1cc2f8414fbccbd5049dd |
| SHA256 | f5da62959878620e95025fd8d11fb0803b6d9664a2dfb7b346c92d2e7cb62ee8 |
| SHA512 | 1a4a0c572dcf4e9e7f0c5d66f4771b23b3bd5afc43a0f4eb072af9c5d19e32f265b82ea00ef28e9a516b9ef013c4f48d317762c1586c03c70f941f33c3bfe1c4 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 6097379287d556b1e18c6a93adafaeae |
| SHA1 | 5f7ece01c4d8d90db499f1ea4a19f8152c700598 |
| SHA256 | faa403aa31b3cbbc63e65bb206c75cce543a0a0f49eb94382c77bd3580903eb9 |
| SHA512 | dbed7f7b1a02fe600464ae6b21ded0a127fed8dafc0146b86f0b63f42128818222097480b889a3bbcd9fd7943c150bf5bd27c9a180a1bb1557666ff4fe03afe0 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 379e9b89dced04f7b04f81b561cc28a6 |
| SHA1 | 3fb9905de88fa1c3cd0da238281c5498fbbc7791 |
| SHA256 | 4fd7913f6623e7f5b9c97a9c1fb935452c91bb316990927fc60235c2d14f2ce0 |
| SHA512 | be73fa4941584b7feb9639eb8eac68dfb74c9181f6a253454f1019d1d17ef873fcaafa74af53d0d9a8bb28e0206b499c46403ce3082c08f294acae933f65659d |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | c3c754b459692c711370b3e21148fe81 |
| SHA1 | 3ebdcda5c062338fa4142a0fcd9d382333044466 |
| SHA256 | f18b1b3a317f8d9a66ff6a3487b42f4d00d542e3e2b07d66bc001e2d17a3e294 |
| SHA512 | b11154e8ec81bdcf618a872e846cfdd6d5f5a817997bd05666eb53433f1bce0677f368ab90aff0dce7aee20dbe5a64ed20945f9582dec2873162c13e57364f84 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 9e1d2325972d0eea842372c6228d0b85 |
| SHA1 | 89cb116b78d871ee11edd68ed276599103237e9e |
| SHA256 | 92eff577e2ef72cef1c4b79ffd73105c7164bead21e4b695f43e49c00c630151 |
| SHA512 | 1734c6684fc7fa42af665efa4ffd2b647fc3414af27b10f8a1097d277bbab9353b70655dbf44e359463ac6e96a291bdeb996b66822bcc4976cbfabf56f4700c3 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 1ecc2700897e787bdb6cc6d697f1dbaf |
| SHA1 | edca3118d0a5d3145b313efc8fc31b2777b4be0b |
| SHA256 | 000e505946902c884f83e81be68e5858d497bcba4dd42b20fad4684ed982d7d7 |
| SHA512 | a05720fafa6e9c9fcde4851a195df04d744597ba77f58fab04928ba5ee7e02f9d1a67289287da60e7b25eec25abb68738f1181d4b736375afb95e93c4a58bd8d |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 887d2b56c6f62ab41e9ad8ab0151728d |
| SHA1 | 50186bf8a501ed9b3a21b35249d906a805343e57 |
| SHA256 | 75774f5038ee560672e740afba70cf1b870b812b62147ccc7b91a5b6e039cc5f |
| SHA512 | 39a090dff35f88b88d62a194f66cda933b9d1e3cc61834edea984e28b06940c7b5c0ad415158deec978356679cd88055391a3351a05ffa331c71f6efb6693cd4 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | e334e5faed78006457a1a69ef7bc7fc2 |
| SHA1 | 07fc77d58116c5f16a4372c98238e544c87226b6 |
| SHA256 | a0e277239999a2179972992d5b574165e63d693112970d61b9f605174611bdb0 |
| SHA512 | 0e577ddfd77ed90b569bafade17156a4d281f650b9036d7716ec775cc4c306d22f0644f04ac7ce08b9539303e0726c7defa590d735250060140a7fc655774d6f |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | ea45be74bb812ff0eba936f2796a75fd |
| SHA1 | f55b90d57147b6fd8564c9d17c37641388336313 |
| SHA256 | 0fbbda994530256e2a2b4615a01068bcf1120ff591b15d032f2c2330b54542bd |
| SHA512 | cc4b1ee2d34a84d8f661104ca6e1f9f5175fdee9704dc5787785513938c55f7532978051fb970bf7387a7bf206b6d60c38de4f6284b8676fd3d40d0c0d511622 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | b966ce259c3b0bd9635ac92e81c905d2 |
| SHA1 | 818ccabb4b3e3b2e326cf570daa2e3ed22d00764 |
| SHA256 | 9d2abc272b31e283a785dace5a0f862ccd82d9045ce2c3850fabea1b8d547794 |
| SHA512 | 7053158d861967e56c3afd24f86075a5f9f76becc709af2cd8b369bb0d3f5ea3ef3d64f43ef1e0e1904934ef28ca218e1d26cf7998a00c67bae6ee894a0bfb8d |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 2760e9e8c7b0049813baf94593cfcca0 |
| SHA1 | f1df18e4fedd8e49003060b967e39fa906fd80d8 |
| SHA256 | 4a034a5f7c859f19828da0b1aaaf03412a031bec710567fed55d69796fffadef |
| SHA512 | 167b839cbd163ead7ddca3c2e3ddd6ea34cb0f8aed9a9a27b81033fc07c5e95dc60243d7254c85e9aac82e3ccf0171922951e3b7f7eaafae7ac0d4437d14f94f |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 632d50f510d97082197e8fd799ebd7ee |
| SHA1 | 02e73b62df95e6cda0ba31d7086ca866798f3781 |
| SHA256 | 30427c04ce13b7840a92f3ddf4c2b7c582e2e90ce10694f962da2c4f9c82ffb8 |
| SHA512 | a1ec9c309ea264ca1525b14c181638dd9e750ba450db2ea8a991c4435de6011d9eff347e2a163495fa8522cca6302446dc5a8e8f09d85c5d5c383f88b80e7234 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | f46c741bc6049ce6c4a7f3c8b2131bd8 |
| SHA1 | 7d32fb90efe333ef10cbaa3ee3d22b3678e2e5ce |
| SHA256 | dc778a8edfd38163e14d05a8e8d25c8d58df29f06b58ae38a2ba9b27f588e33a |
| SHA512 | 47e81a06dd8588955f6d798347bd23b06314ebae238bde694b5756570168bf718b6271eee5ea66d6ad56a8c1f0a17984d8fa13afb2901a94884145e034f5ac31 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 6a0a8d5a88f13038297974d52f139571 |
| SHA1 | 2e30ceb591075c1220d112cb8c06f6b768756731 |
| SHA256 | 8e7640af4db189121ba67c0455d7534ce10d022810c87b1e0074f9ef145022a7 |
| SHA512 | 96e36f69ff9d3540060b17d4ff25547faae001f7b3be4e9a30788377ac850e27ba91b1c7966727f4c40f6fab627f75e5907b668b9130f5fecbbccbccc6bf9b6a |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 93154b73a1d3f918ceef7c2d64aac06c |
| SHA1 | 3a8a896114810e301834d491bb144649d30dfeaf |
| SHA256 | 4ebe6d65087511caa98e13b4a388e21f11edd0cd21fc149c1717ef4712c96e06 |
| SHA512 | 79f3081e354f1133a1223ad9ae4ab18d153c915dd0779eeaa95798babe9a06342c1bce02e00d05842e80ab53658d173c2c052d39b59f0255230b9cbd3fbc798d |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | c3c0b5646a59d11eec1d9a1a5a67a3b8 |
| SHA1 | e05e4534d0f40b92cb0b8bd99f1ac0069b89120e |
| SHA256 | 28bb6d9fa17cdd2396c02c2df15046cd9255fb0284d8d334b1b346f75f2dfeb4 |
| SHA512 | f519b944ff76cc1741838531f323f34f27ffa01ded16ac4f7f35d6cb350dd95532545ea8e0d5047448e60fa6463d81657925d257319f4971cd947439c693289b |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 07930fd4f4b59c446ddbeb90afeca51c |
| SHA1 | fa7486622417b9c0e68eb9663b3390f262c6f26d |
| SHA256 | da26ef206d60fb3d3f2d2693620d71c949bfec99c7151023a432f55021ae92e2 |
| SHA512 | 9d620e0d55a7c49bd73b7d492f77a2e8f0107e880527da218e0320071bc1246fb4cb9ff5b416528d6e08d40ae8e85465d131994c62c3d7169a7356bc5b024f8c |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 9d36764969fc5154b1a983fff0b99108 |
| SHA1 | b755fceaadc0c90999e8e669aa08ecc185adc184 |
| SHA256 | a558504062d597cd9de988ea0375f35926c0b882cfa93479fb867c2ec29b83f2 |
| SHA512 | ed5d8534de0d39388574e8cf302d25f4ec112b6c40c5aa20b477a6711e9b01866a8f5af23d7af1bdff4baba21453e5e2fd597a092d6998507bd716e9011318d3 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 9da6e9622bb24e84c98d9478a1cb7ac3 |
| SHA1 | ddd081e4340efbcf3744b46ee02a2a3f981cb432 |
| SHA256 | c4c5f6d0cb49106681e3496d613b27d2bd211405c25413e81d62f6e728c93bfd |
| SHA512 | a747dc145e4ae0086427213cd2fe56c3d8bcf13fe5d17280edf0bea0d5d15583f95f39a4e1e97d84a259eae003be7ca32066c5f90046543a7e9c356b3cfbba24 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | aa5d2ff43cde495841de4ab75fc86617 |
| SHA1 | dd6ec170c55e1d0be92bf8a816d8f5e6a0762a2a |
| SHA256 | 3f5a3d78b7de2f6d09c0f148d128a41f7dc41d915c0915177164681d1bcd6f5b |
| SHA512 | 90fdb6c5f2bc83ff61c567c5eae70e96b317bfd38d61ca6ce0148964ede0e8c1b327c895a91ba7678673c55a15a0d7cf21eaa1f57fbcf99ac66365ea4e6f86ec |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 2663a53053c5c15c1542a37932dafddd |
| SHA1 | cf1033dc956b471305a6cd1f4d1c074ce9194aa0 |
| SHA256 | e427ee2d4b6b200a3ed000b04dd4df3d754895382ae523248fa281fa1c48433f |
| SHA512 | 19a498c0ee6db5b1ba2df4516457d086a23088046476de191cf96482ad7c849e8d276ef0e468ba0513459310a2dc243b11fcdcb5b94e8f5273f1258c2cd22d02 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | b987c811ecf4cabe74ed8f68decf789a |
| SHA1 | 51e79de68af3c0ec1d74c45cf460ef0e70c76e82 |
| SHA256 | a3d0895b6ae702e99d85ea4482cddb04187349e90faec059a2042083a5b4c00f |
| SHA512 | f9661e44f429efb04c0245d3b091aead2457c5a2a930ce62630230b9d57a753d928b105b1d2ee7c01741e132257bf23db87f8fbf1e0f3c894ef2e8dcfff1d8cf |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | b8ef4b304cd415e2a8671f57853de78c |
| SHA1 | cb4bb9ce437a4dfbeb0bceddc2ad3697b3a4a474 |
| SHA256 | feab0d4fe25aaffbbc3f5247d04a77efce8dc42865dfe00de36b240395e85a81 |
| SHA512 | 98e53577d879449e334b14ecc2ed7cb58c9fcdf9e35faa726ebf4acc74b727d1c9182cff59eb86dbbce268ffe0712e36e08f9b56ef2bd5371608d5312a434163 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 7398ebecba6eebab3f714ba62b519548 |
| SHA1 | 4b325379aa51ea8f251fb78daaca83357bb0c402 |
| SHA256 | cc123b399bd9acd5783807e3d33ba669c93d9ee22e2f7f1c177bff5fe385a528 |
| SHA512 | 5c3acf95bbe289096a3c9ca32461d813f002ed4dc32eef80002696a5b802f7bbdc1180319eccc51d9674af28ca5e46d46e3bf3969fb8c452d08b058d2975c369 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | f54ceb128204f9e7130b3a3316d39f97 |
| SHA1 | 9801bbc4e0bfb52a6bac24256b410c217bd30ac2 |
| SHA256 | faf55285a2d98474186fa795ef5d70bfab04d0485c0cbc37c5ac929839a04d32 |
| SHA512 | 1be8c7f16a43829595e431815c78c941f46c62c60d085fe7673aac0bb0e4be9d368fa7b7c1b5d052d73174be5cbc95342fd7fd79832ea806f7b41481bbbf315f |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 7c8fcfdb56eb5e491a13ad2a55a3e40b |
| SHA1 | 7a1008206582aac9bfb73bb006e0f45b789b8398 |
| SHA256 | d3552e95057b4e68b21e449c1feb273683696c331a7bdeaf752675598258e956 |
| SHA512 | cc4db1cdb60b240bf54eeadc2c842137ef514c58f395cd185dc08610eb2480d2d02c54b561d38c3919f70828d7f7033415185bb72852f9b95e0ac7228bfde13c |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | c06c982034b08da2932d087438d1c5d2 |
| SHA1 | c07d9ca98eb56d5aab0aa0aa0e2813df6426b25d |
| SHA256 | 614fff417154e48b2ac98769e227220085d7c7f58ce9665cf3b3f0e20feaca3a |
| SHA512 | 2649a80b5e7441a81a431e9b62e3d8402d0b0b4dc6fed0603d0dd8f69f820099ab05209745a1fad2bda584b6c00b690725f8763c5e5c9b43b7727557b99bcd7f |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | a615287cc779cab50a4e91920a2262d0 |
| SHA1 | 7285a20bc6176c6efd8a4532a5be78c0271d5beb |
| SHA256 | ca74d2204f05bfa8155682e03f024e770d3da6f0a219e783b1bab180203a952f |
| SHA512 | c697e8356cc299b15e70379de158144537c8d41d37bcf0407d3aa43c9f7219e5616c9296a91d6b0a4a6d96233ea93c415fd3093ea90ff7b8025f20035cd11f30 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 9ede8d00ce918bd53e99487a2c72b88d |
| SHA1 | 250c5b63cb1b41449ea99b31cb31f20e6e8501ff |
| SHA256 | 25947770748acfd4abb5e9b5c7b671ee85f8cb489cb8110ce227e6788fa25c3b |
| SHA512 | a18fd622b7c06390ade72ac176d8cffb059c88e9b8070126b20ed2c3a7a29965335aa968ca9181108919e628fbd84e05d125c0d986a14d1b4191d5ea5ebe0391 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 2c9f3c9e54ae5c6924e5d6e198f7481d |
| SHA1 | add6171e2a5a5f5c7dc6c34b9e8fb38e2321f1b0 |
| SHA256 | 3bda27232ce230bb820fd5dcde546d6b79d419d2cb121771fed93999e7205dca |
| SHA512 | ec7d59fa14d9c69c6b35ee829e8114a03cc80a95a92b3d36a84ae37151a9750f6e69141c0d92270c2e426f48782d677e8accb0f1cc843865bc1dca57ebf87805 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | b8c8b9661b7f3fd57b75344911875122 |
| SHA1 | 88d4e9c29bd2826146025e8b1a5c3fe5af012672 |
| SHA256 | 965b5031e9598586df9644244e8271a7fcae89a7b27821dc283b82f989788a38 |
| SHA512 | 295898420ce5c3acb475891ae967e30e02219489fc81fdd4e3f141fc7e9c3a329df74d5262d4dd67a55a0c961e95503123e5fad6a26305b228dfa49a5a10627f |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 38dc5a75c22157a163f66aacdbe7dca5 |
| SHA1 | 722e13d34d069791fff5b395aab206fed84e3122 |
| SHA256 | c96b7ac819490694bf49fe01e61d911206dc3818bc69735fee9e28da9d357c29 |
| SHA512 | 6215dee344a7492189e1b040675bfeafa1979ffdf7a5feaa0e82fd2a469b340eacf7b14443dda96de8ab0fa2dab2f2729585e8ae0edfd42b3a8c3678e69c8ef4 |
C:\Users\Admin\AppData\Local\Temp\Admin8
| MD5 | 447a80504f23d7f7f64d089c4763cfbf |
| SHA1 | 371d3d403c6bbae1e2987a8bdc0a765a0cc047c9 |
| SHA256 | d33ac8142a127404a036c79953fcf6b66e3e2caea1c914b7f74191e567989c7a |
| SHA512 | f4e906669db3cd85c3fe120abde8e8aec8fc58661ff8a1bbb83a9c0df9f73c2cba3ec63162eb510864383423aff01da867bc8923931234fc526416be4124ce7f |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 3f9babc6686f406b5832e847141ba566 |
| SHA1 | 3ea38f36b60ba6dda5747d0058e3bb10c74b46a9 |
| SHA256 | 3e9d2a3533ec9e307d066a9db88ec803888b793b2e59f100d7d031739ff6920c |
| SHA512 | 4cf7c78bff6bd246782db015daf3ec0ba52e1bbd49208f9e4240fcc76b10b441fb9b760012bb430177165d45afc5aa66ba6bcc08b718ea58367e9564aa0a1ec4 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 8144e904c18c528c737a068b337ec137 |
| SHA1 | 7dbe32db55fb9ff0c32ab6c9ddb44d66ae63088a |
| SHA256 | 4c59659a87a0090b54094af7d422c39dcadcc15172d8f172a66ae140cc2c8a01 |
| SHA512 | 04d4a1562087da9c0fc8338997ced49fdec580ad16ce4620f4bd9b7aae14d95ab1e42a5fa26e97ad7d555e70ddd2c2f9ecd3227bf5bb2c57ce52ce0194f32e4e |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | e721d563c2e25c87fad66692437cb90b |
| SHA1 | 9c82754b6b562d0998c7e30e3b609f788a7f0a4c |
| SHA256 | 7be21273a8d009d102485fa205f4c1987afe11b79a656e8d94b372edb86115ae |
| SHA512 | 3d24a168ae5d8bdcd240a2cb4be6700d66f8248d1fe45b0b15efed9fec3d7768c877d575dcd71a4b41a41a5b67baa5e7d83d893bae9428f15fe3f50ebdae8dc4 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 072fa678ecbec5f3b4dfccbd27784793 |
| SHA1 | 0f419c616ec4b158240d95e7618c7ecb3c0c1013 |
| SHA256 | 58db30b39432b925877ff2b11c0ff73728fa34a86c2d20039f36fdb4c17246b0 |
| SHA512 | aa820ad174421bb9e26153bdee03a91685350592fd1c8b092e0ce6b6170d28347aea50ee1b10400e3f8af53947d745cb0067500023d511741d50238b62461264 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 55c695622d8864269ca3fa1cdaac1d47 |
| SHA1 | 6eabbeaffc458e8cfb62485b4525d7f6d62f2137 |
| SHA256 | 73ba41982396c56f2129997c783c6f6b721b986762f5a214d9d752365348c607 |
| SHA512 | 2e8d23934476ba3fef845b0e2a4fd65f6baccae5c2acd6a16e7a80d7dbed5b506ea5878463918d9163853d568bade68277456d227b82163b68eba14ada04d3b9 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | c55b4640ea80063a5d4d910a16ee55bb |
| SHA1 | 101a44419e7b184f22bc1eb1b3bf97ffd8bacd8e |
| SHA256 | ce6e9e089d4143502389215fb726bc6a5834391b055b3e5e9a4c9dd60e9f861d |
| SHA512 | e554eca5d10a164d11da9d74fa4b8d07d7264525f951476fe8c2c12630434b033e1460c181ff092e42d5b88c4d599ca89b2cab3324c45c9fdd58267314adba85 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | a4cf1056e2598439007d10f18e1d3073 |
| SHA1 | 8cd083db0d623592251e59a28a421535d4275e64 |
| SHA256 | e793dbaa45eb610d2de224d6cfc5a8610bd7cdef158c7e26cc263659208fc6d4 |
| SHA512 | 87a71ec0445e25b9583b60e13e2c2c851c6a2f9d7a24b4e257dfef2903645ac19834fea03214a0895cdceb0e073e36bf5d03280ecde17d253f4842cbc8ba3064 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 56fb9ed24e61e5f7a73777a4c865f03b |
| SHA1 | 6c5b0c9410571360cedbca9d8e6b043802592b3b |
| SHA256 | 5efecd24c013058a4afb20aafa5adaebe2521be065bf4176a24818cf8cc1c972 |
| SHA512 | 29ff797d194a375f40856f767c277c494be350af40a2a5c95d643b2921b195bde5322ed6366c111a8659676f89af4e3f6113b125dc23f47f5276bdb74ec3eeba |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | cea2dba3c74fb012aceb52fedc30fb80 |
| SHA1 | ac15311d89e3beb224a40811e82a74dd9cbcf94a |
| SHA256 | 2c3051d1ffdd3e8a308fa437d06b30451bf6ad7805f55b033f8d88010674e8c3 |
| SHA512 | 33ec9906c9253285710ca7ee87ee2b87241fc8f23e68a4fcc4c57e3abe13166b71e2e980439df38c38832495046a895ab7eec99dad1b5f586a3f0e0808dfafe1 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 16eefca29af7c498bce45e5a778f6b04 |
| SHA1 | bba312e3c9ddd755ba24235347f70f3337a61392 |
| SHA256 | b90a5981d567a08e22eaefe606243a15cb2646e00bd1f462eb812b1af76af7ed |
| SHA512 | f1965f3e4cfc9725cdc784efec2c05e183f24a772c27e5ffe436793be0c047d7c80f91df7d258ce5ea2abed4a58aa628a9f853585f5d3cb605f316854b4c15e1 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 984a95189c4ce8fc7ff4395d3f79ea4d |
| SHA1 | 1236ad0c26a02567cb662ae0aa06712e375a925b |
| SHA256 | 8542d440c87d2f2b0e6de647238b86243aa7e2490b59651e7a89084395798fdf |
| SHA512 | f9207c4d76ce7064ab2edf8f6b2d0ab0de97f853479d236b8122bb7f75ff9338df13e02fd1447a6224037b4378abcf402fd2e276884ad0b01a92e1291e88ea51 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | ce9216a60f3a69f50c2c0d1d9c4e289b |
| SHA1 | 2eed37003c08fff4b80657b5c98ae65b6f149f40 |
| SHA256 | 74a2c7414795ab56ea42048d978783bfa44f625c8d34d4acb9b881eea639cae0 |
| SHA512 | a0feedd1e4dd4af347148e5e256766f6a245bc46d9b930d05d8f72cb7723e4eab6a3ebf2591f686156405f1cd70690d508b25163d33e367512d09b1df5fcd2a6 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 9706af9eb2b2ed4cc5705c7893297e8c |
| SHA1 | c0eb813978fedbdff679ac4f0aea1626f7df8b84 |
| SHA256 | d08a8fe4b4f4de42a0de80f30af622293545ffcd6f78f868cd0b36848e8715f8 |
| SHA512 | 7a0164da8caf6bd5231b28b2c617a9fe35285e0638a3c00e80d6ceb60f0a803b48635d797be38a0ae523d06d975711a3494e28e5b7fbbde6dcd93b1728fd7fee |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 6efab9a79e83ae4c6638b9146f0ee057 |
| SHA1 | edc807c4f79a2d40818bb685b1a139b4494bb43b |
| SHA256 | 0f039ce408b930ba130038246e7f8ebba0d1a533cdbf09c5598743d36cb01566 |
| SHA512 | cc59abc9e783993f5be40cc3b8cb563a46e3992ccaa303f5c813e37fa598d2094b1a42ba1fe8282945da7ad06de9563a9cc50d91f959bdd97890839d6265f83c |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | e9eae20bfe186de385a0294326e19599 |
| SHA1 | cc57e8639a4e809d1341b0322013f8e089fb70dc |
| SHA256 | 47207a800ed15cc6c2568bbba1c56f983653dbf0342d10e092af0be085218a2e |
| SHA512 | 7e0097c1917b04bc6ce1fcf15f6b89d64a0dcdddcf156c0bd76928eec5be0d89b739f77bf31b22f9bc5fc43a5c887f12bd85714e67344b1e24c0c9fbcedd5fd4 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 32befb89c529a84172f59c940cb9bb5e |
| SHA1 | 014138c8a948294016d3cb58fb440fcb3d28f1c2 |
| SHA256 | e44cac4fd520fa1c69d8e5d172c3b0e4d2238dc9bdf186eb6f1a9d79afdf9950 |
| SHA512 | 19d8e201eae7a0039368e911b4d21487358f8aa53dc62e0b2ab25e8fca2fb6fae42009e8bed599a3ebd40534a96f6297b1d513c4fa606d11af56ff0ff1573f6f |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | ab108a23a70c12b62762887662050da1 |
| SHA1 | 788840d8f5894c28c667415f2e05c0583bcaab65 |
| SHA256 | 54773c4931f3788bdd620b8369971f0a0ce235051a2905b23344a8967b9465f5 |
| SHA512 | ec859053441242d437b663da7b0e3391035df2790edcf5263a4abc06ebc5e64167ce02a138ff133fd700a6afc609e9a0c6727a37f6cf9f4a708932ad10c9fd8d |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 778e4aa968eb1d91266b91242b53977b |
| SHA1 | 78d83afd254e2aeb968de1a66e7507d935bea801 |
| SHA256 | f7ee936de17e708acaa97c2ea68f6ea9062286425794f817d2797069087c393a |
| SHA512 | 922a0f04a2b6849e91dc3f0dfdcb75ec9308d933c2c7c17a08b1da67cb3f237279f2a233c462cc1247a4a0e926c5438adfab0e005d963e1b97c8cdab17d33e36 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 7b6cec34e0ceda345542d28a9a90762d |
| SHA1 | f37bf72ef3339abf13c018849f676e4a6b2f3418 |
| SHA256 | e7eb87626d59527b463a8045d805db5795748a636bca0105c742062a5f0f2325 |
| SHA512 | 60cd37eb361cf0312bccb594ada4d630222eb7e6c12969b31d7f86eca9c16af995079031d0ec6dc9483f9924f3e661a6ed92f6097b14b056ad29d0fd3276416a |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 7f954eb5d07ba1dae8e5673139134294 |
| SHA1 | 19483a029e54fdc4fee848f01da52aee39de104e |
| SHA256 | 2fdfb8488f2ac73c11681a1aa85bb0fd78267c442909d968294ad490563efbf5 |
| SHA512 | e52a7d5a60484b1fe98e93d4b967fe80c7424186e9864c858d0ae8323195f8e5812e65def246f45534a5188e9d6546ad1dc63a2edb939ea5ed239c86ad85f957 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 0bc0689b7dee031660838dfbfaf3a94b |
| SHA1 | a77228e8560b445fd8d71427dd4fb8ca5b640943 |
| SHA256 | 5f074aed994eb7a48fdde1cb59b6145ce135946a380bebb524a08b87b0ec775d |
| SHA512 | 1f60bde4e3a012a655bca9663e2fc73dee5246065c525564c50ee48ca20c133110a69fd931b66b0904d550a4ef87c9f53f36094ae2c240db554582913a3a3b1c |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | c4ac876c6c143227df0a9b5375fff09e |
| SHA1 | 76ef1957f369bb876167923aba2710562711c62f |
| SHA256 | 6e8244c507e5f503a078649e2ce3c7722c9530b2f918c5eed0401f85fb18a092 |
| SHA512 | 0f913811146ff5ace41d6478bfa7743312e0e6aba28a2427e04ef4faa78f2035ff3be571ac9337cb9b270d4dec89ae14172ef6465578a5141e66db86b3ab7686 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | c0665addc18f99f4893accc08ed5b4c8 |
| SHA1 | 76c5120eb3a52efc820dc136317fb3fac89fe8c0 |
| SHA256 | 56c2aef242beecbb55f4048922ee7923674cd018876647824f945fd1de473dff |
| SHA512 | 405c286ef6ea6302505c4f36ffe02453165d099c29bb427cd4c986ede26f9940be4768b235fe7940dd743f4be8ffe63c9721fe16e69e8b0145644c7518b4b334 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | c7c6fc91c66dee9d4629d0b2a050e9f5 |
| SHA1 | 08e2bba896ac0bd6a75fdc4c37b1091a0f94206a |
| SHA256 | 9fee6950744975fd136c307c664ad6de960d4ccec63b6385999c5be48b7bb31b |
| SHA512 | 7ec979e9fb417aa6ea84daf348adf93970be09cd20d64166a82b069adae132341acc41d1819a19c6dd224a38e7c474479f86d2ddb4bc579c8e32a5d2375685f2 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 605e70d0245749389f5b24724e612ee5 |
| SHA1 | aea5e5a7b498995dfbc4c2aa89fb4c49af7afb0d |
| SHA256 | c70f00c0f5a8c36d3a6b714ca01c0cd642c2fd924bacc606e46963dcb12f0d48 |
| SHA512 | 64ab44925fbbb9406ed2dfadb406309336041325f13117bb75bd2597e0f47b9d7bf46c249c783e020fa90c5ccbadd2e212584619ccc8a87e65776d058e41fe2a |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | e6dac53141a03aebca3964b38dd97741 |
| SHA1 | e4b65b43dce0f3c371735f44212e2244414919f3 |
| SHA256 | 8a4bb9062d90b72ada5cc2f9b6a769e8e21f9d549876838539589782852945a3 |
| SHA512 | caceac53154d36d85b4d52a14758db786c860ce43f42cd2c7b7f9cd307aa21ece4f69ad96616340b59bdf561c291a4281eeb80ad4cec7daed8d7f8cce82a4935 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | a80881018c7af2220dded9bb2c5d25a9 |
| SHA1 | 0d214b934b7c8f99a876b7b4be57a7b5ea9c8b6e |
| SHA256 | 74d456cc444c95e6300eefe19017be83e40c03e1546bacb12f23aff616d13252 |
| SHA512 | e8a905f229a54ac813f68cddadfc02250b34b26bc3d5a255b61b89bd03177a7263e8630705d835b4d39c068aa08366b8e3b528f71f2928d4945c4e8d4485bda7 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | cfb1784d118f8bd6343b895d12e41541 |
| SHA1 | 3b99ea46d97f31e86a362bf851b1d96ae123a47a |
| SHA256 | aaab1de8f4c787734c06ed7889fde680828f213af8169bb3ef9e694a75eb1750 |
| SHA512 | 44d76b04ba4e94a5b6b03dfd8c58ce2a8ecbda3fb421210d5c71f77a50ba31d1d79802a5b01cfc5193f290030e902fd0d9fc93936da36178e2679dee25a56334 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 4a71a61e62d4be50112a34be3137918a |
| SHA1 | ce8b370af2f864fc4a7ef0d960484af3a71344c8 |
| SHA256 | 13829e14ba0e8a5daba1b52777f20278dfc028d7277d237f41b2ca303157c0c7 |
| SHA512 | 49df690a16db790846680f70f1efaa1a11925788840ee082562ca9be79a9d16184479b033b9fefcb25daaafdbce11bab861dbc95b9d07130a0cb89aac7aacf3a |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 595825f4b458d1fcb751ce5f451ec5c4 |
| SHA1 | c72d2a8fd69bd5a4be65a4e5fa16d5fb346132f6 |
| SHA256 | d7ef3dc42b9445804191a862c4b41872fcc8a93198ce2a279f7efe8cfa4c9c7e |
| SHA512 | b1c4a3fe0a32b2c85a5bcdcd20e4a56fb82041f9f6928c0a16e6c714c275b3534ceb682507ca2842e63a5a973ab757f6bb410a04760941890f847059983e912e |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | f0963bc65dd0b05d5a6e0c025f80a846 |
| SHA1 | cbb8b37b45f15d6388ad89ad7d727a5bd994222f |
| SHA256 | 69fad4b3c6d50aeb2737d440426136dad9da32b389797def0188a4c28cd211d3 |
| SHA512 | 7334ae39fc74674958a4f58b464f2df084863fa751f536d4bc1697aff84e82134c9416d8820c370e2b486fc99f95321da1e5a2ebf50d1f44b0ab278e04e3ae1d |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | b83b6bc943aa0152053ac9298c1215c8 |
| SHA1 | 9afc4ce66a1935cafa43bdba74eb1a9022111d54 |
| SHA256 | d20516a60b8284489e64b89c4486e9d512c0b51d0386cedf635e60f577e8c81a |
| SHA512 | 4d017c2c6effaf35fbccc7c9d17f3eb97c73ffa77d19888d9e1319ea81c5f6ca83779407f321ad568db2010a01985eeb014606737ebbd62f0eeb4696adcefcaf |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 00ea0de4764131e340fe779c48a08470 |
| SHA1 | b333a7e658544a03658a85801a59f839e55fc870 |
| SHA256 | 91a4627a446366fb8138b8047342bd766e1dd4e976a592dc56846bb58dd8f80b |
| SHA512 | d71ac98833cd0ee8df7999731e9d0d1e77f243ed680a69b7a2127228b6200802426c83f307b27a02e6c8c205fd99659147dbeac7ba591e87bd071245a5e93f04 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 70eb48bb4eea5eb771f86d9052ea54f6 |
| SHA1 | 9ea1af68af4535f20502b7377674530d412aa12a |
| SHA256 | 000387c16cd40f3fd85a29e3b1edcbea613eddadb05b0dd1d0b180469fd10f50 |
| SHA512 | 101ad275dfec1702670f9d77a450e605b3af7b861d9e04c4fc845d7d8ff92bc85a56a16b0a862a880870a266b472aad94ea401d1b211d313ea0ffd251fdbdd0e |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 8f0e6fad1050f2f7061f72df9ed5a6d4 |
| SHA1 | 7b4afbbf40563536ae463ae8192d1d02fe90850d |
| SHA256 | 87a4098791df868eb70445cd1bb5d192643ab61890b0f9f7b15500090196bbfc |
| SHA512 | 9b0a3c34a27efc531755080624b2ba5d936d365850c4296a1c4671f77b42f8f9502d47301d49555b7943bb025dfaaca34878ec8bba3bf92da4803a0db5f82365 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 05091f850e087465543c6b09eb850bc5 |
| SHA1 | 53a00bd62b54bfad431316b32c87d5ee3fd56d51 |
| SHA256 | 2b9c59642bc5148ab7c465422f99c5a7df57680f8c1817a7afa0b176ddeee731 |
| SHA512 | 2c385bb854beebbf2024a210944dab4458ce60ec24fe3d791d07ac553f76cd8aea81c6845f59083e1c44c32ea6b4aebf8127cb1df3368a70ece27cde6c2ddf87 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 5baf770b083b516256b64936a82a54bc |
| SHA1 | f781fb4106b22fa064febab39b8f92c546b4f62f |
| SHA256 | 453f46974be63ada65e73e2689957bbef597eddb5f61b85b41464036a1a88ca8 |
| SHA512 | fc7a1205afae7df5e3c339b05441aaecaad816e5673b3527bdab0850335c636e2aac72a977a19b5a4fafe0de7b24beda0cbc89f524799d7bb01000e797d581ca |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 0a545f9a04bcdeaa9862a97501f6223b |
| SHA1 | 6b37ea6ef05e48b33f9bbbd8b345f95b96ef6676 |
| SHA256 | a4a2e1ef23a36fb75d54e63c29f7e6aaf913072ff2386a14f98802ea9a6334c4 |
| SHA512 | 09d65280a9ae65f5c108ab0cf05445339db7c7f4cbb8a3afc11d1ba98913f52c093b3d88b0eadaa3b5525ae79f8ef8ad314ebc5ec620e24a710eceeee6dcf3b7 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 742539a139dba380c057c2c3d5b9f209 |
| SHA1 | 6054b5a450335d715b214ee49f6dcbf769263c45 |
| SHA256 | 3dd473b5e1e58edfe1a768f0df0a651fb924ff3a28c41cb7bb3220634c758680 |
| SHA512 | a1e4aa03072939c559a2c3cc9a4714b95c608587bcb672074a90324e963781c9c8207a79619e775047b1cd1c2c061fc574b6c07c89b5daaf3eaad33cc75d06e4 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 9c6f3aa4380f0151ae8937ac81d78261 |
| SHA1 | 3c5cc6e06d2700d02fdda4b30ae9aa21e0a0182e |
| SHA256 | a7d34567c63ac139f8507b5911dc0ab5969d91e0cbeaf1dccc12e382ae7742b1 |
| SHA512 | 87590dc1f6d1cf5e76318d6335596e504aefd8a608f6747ba5dcefa185246f244b85fef42b41b6a8834f93310028b2156e14c9523abd9992121eb68ea87ddce6 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | d926a983c39195e8727c158eed81be0d |
| SHA1 | 0593cf19685010b99969ac2b9a74c18d0425e95f |
| SHA256 | dcc1a4de1c9b590526d3dbd37c10a5b4d783a2c724a30be41960c0a54adec99d |
| SHA512 | 1d42f727e4ecedf7727670d0c03a21ffc9222012027563830f736badbe6990dc0cb12c95d843e2bffb6cbe235286c4fce7b86f3ee1dec9e7671b506dafd097e8 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 759db9f66c4f0f038d05509ffb28370c |
| SHA1 | 45638526e7f165b38b4bbf3b174e3186f2c6149f |
| SHA256 | 0b64428094247969282019e5dbc0d7b47a911203af8f6d53bcf28ed856f32786 |
| SHA512 | 85a0e2b1850779f23b26c6a690fe6a0a1f2f0f4f9ae161036ccf9bfc10e066f8dbc673fd023ce1e51468e994e82d39afc9d633b2b29bd6cae11e0b27f63539a9 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | bb6d3327c896d437df98bb3be09ce0a3 |
| SHA1 | 5aa44c1fcaa2ad8921660c099012fcabfb42b594 |
| SHA256 | 37d5f098d839ba625941b4643ddfe9a910aadfdc62672c23dd6888d52accfcd4 |
| SHA512 | 3e23d01282094e62f6ed425d98e97ad08fb037a86b4a327d5df4e34e64d673f74503413792822c055fb772838d433f68b558eac04974199ccca6bb0669a3e503 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 3322b5a6b7a2efd67989c437834a88ee |
| SHA1 | 7b0251bcc845990a8cdb22b43e7862eb4c03e232 |
| SHA256 | fb552dec78fe6e90a141a0372310f29acf9ad6544eae7549da721a17dd369548 |
| SHA512 | 4ac9e27eb809fee3f5e8ea70fc3a616203a7c251b1d7a559f34008fbe0ce6432e6d04335752b70c4bdbc8cfe9adcdaeabf51058edb03837279cd839470291c3f |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | a57885f1a14a7be95c12da02226e4060 |
| SHA1 | 1f7fb8812fb88893fa7c1ac0ddf9b94b7d528e49 |
| SHA256 | 629b1dc020ca6967ec42ec35bad6a8505f98cc61a6524408f398c43bd17b22b0 |
| SHA512 | 3aba31ce6096f604542e2e3e9cdc12472f8ecf48c8b43df6aacc9f2148a595856217176e41429263dc6ab365324a7fc0603117dd121b90388a6658e0d1d0d40d |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 5d9142e359f666f00cdcb0187b9021cd |
| SHA1 | b2ed9961c14b6b9e981f50349c475b8f12e6eba1 |
| SHA256 | 4d98b167e7e6c3c794377087287131bfd7db596d5775124b0a56f731c731c759 |
| SHA512 | be0c27a154ef72111580db7beb1f3c2e59f0b39602f183b50e058797e4464313e8fec4eba8cce8eedbd5ebff9c7ef35f5f4a6a23fd7223195e12a30d991b4fc9 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | eeb17fc757abce50f4d74c6e4cf103ea |
| SHA1 | 366d3573e647d2130399d7872129cf0029172cad |
| SHA256 | cc96b524cefe122c09968ac4f4d627a6371c438bf090f031c48ec7bb405bab67 |
| SHA512 | 301eeeb88cdad14aa3c20fda21f515162b09144c3ad4f479fac986e8acbffe856ec774f44e26ed6a377e1373fb1e83f37322f34a9e9750d3a3259ba1f8b40467 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 8a020234e7993d7875aa27bc793aaaa9 |
| SHA1 | 307f692b771749d706a98dcb1cce25d5d26ec64f |
| SHA256 | 1f1593156a4367516c97177357954ab87f2260e58d25279adcbb2f6c3365b829 |
| SHA512 | 49ee8d5c389f90a793d59079221e67ae17c9174af361d4f5e1c9fed5f8971ac46f00a838efa12482ef0560ffa51a3b28d88bc4d1414903bfe0b71926f99d5d57 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 8c4f1faf055d937b97ece5899d8d2e28 |
| SHA1 | d2ba9df599e4b029013c2b76d77c2b9e9d367963 |
| SHA256 | d85ad87c5b694f370eed07e95235a7c9f1859a26baecd7fc904a48ff2a88c99c |
| SHA512 | b03c57ce0d0c84258eb240a31b1cbd7ba08eaf40abf225c7eada9c838bb84543a9d5fa3c26642c090907215bce7811c32b60f7bef95d141269d293581f787e9c |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 59015b9e2e8ad0f57fa8bfa92af0364c |
| SHA1 | 94bc014554315f0c051ef7c79d88f3bcd8b459ab |
| SHA256 | f71ef0b337c043672323c3f52df9db3a3c36ad00d4e994838ea9219c50ad3288 |
| SHA512 | 04b0f43d5b15be5c22119235121c46d238352b20f353b3fae2a13800cf2ad029a4b08240d9c1267df2942d4b33ee388f04c8a0324db36ee7c0369cca299aaedb |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 489c24f4c8418fc06f9274ffc4bbb9c3 |
| SHA1 | 3041baaf7f4f0789fde122bc2683c7c2dbbbdb5f |
| SHA256 | 56d1e8d81fa102c077b1fe51993a533ecf26cffb322dc68076eec46f3d22d8b3 |
| SHA512 | 7ab34da006135330ae8736e178e8616e4bc6bdaddebe83deba0d98343156adfc7e1e5c38842728c808d763994cca7cea55d6fcf2596981efe7061ec4250082e2 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | f101939c0f2ef894deedd1fa7950828f |
| SHA1 | ca92d556e2300153e84e0fb46f16846f0c192096 |
| SHA256 | 5a9115309634f1e4b55189b6d7a3e225e6531d1c4b50a9e97cc571fe1a87ca82 |
| SHA512 | b1ce6848aa3a1c646e681147f943a2f848a470825a0c547d88481a8d76c7b66819db7465612bc36d9d8eb5a207859cf4a85f71d513051246789204615ef1f7af |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | d62e583723bc18e89b203d6f7df4ff8e |
| SHA1 | 5e17362b6a51e39b8a05088182b6823cbe756255 |
| SHA256 | b0d0d436d28d882246654de3518192c0faa9dfdcdd89e52d46f1405833470f11 |
| SHA512 | 79a139f787368fc54943661fb02177ccc327b0e245a232d2fdfb1009ce04c91a616d598cdcee4bdd9ec3bb3b167eacbf3fd8be374258266454770fe93adb6aca |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 18e7874866db3bb532722db9628bb20c |
| SHA1 | 420d1c96a2aa56f7149243f4fc598c2a86fe5ee6 |
| SHA256 | a4ec42e076195e13a5c62e8c64a646b78f163c8a6dde0d5928e7bebf795c70bd |
| SHA512 | d70af9baa7e2572986823fc4e37869ceb7ed27547346a361ce79a45002f3cc8182d59c2bd444e2f250f295d427976711bc3cf5c0dcae5f26490a667884563c07 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 5edfad304aeabd1b0bd6db4ed23cf7fa |
| SHA1 | 842d44e204fa692f7c33eea863dd56c9fceeb4ae |
| SHA256 | 56d8b10e90ce72b8e7966eec6513076f5bb5c9dc5dfcc2fd7771033a22f126e7 |
| SHA512 | b88e3d07eaf2b9b391a4e6335929884d076f8653595d93a1e40e9ef63840e16e8262d6ce2e375b06bddb0046a5e72db08d3559f800070e98fc64aa186233e67b |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 5b9d7429fdbbc97305acdfc12766d8de |
| SHA1 | 29b1884b6d2a61b5df5b37d5dabb1fbedcff2872 |
| SHA256 | b2ccc2365be88515a5b50948062f48275efca114504cc6fb6f76c90bdfd87fa8 |
| SHA512 | 62dd1b171444b3d74d5a66b61dc546911b52491acfc5ef8d887dc42ec2640c1f456ff75c72f397d680f2cbc18dc3771fde0e027e909376a1defb6523cfad6755 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | ce1e92e4ab17ebcb164b117ba6f05ab3 |
| SHA1 | b509512481c50f3e45a122338c28b5cf591bec63 |
| SHA256 | 4f272a9f478372edc4185df5bc8d2dcf33eb549e9e4d72270ba5479db4a7e5cb |
| SHA512 | 3c4e7d3fd029bb07a4141c30077b56caaba530a37ad0ac50eeef5df015a1fa22cdc895a84af35e5f41f045ca9b7eb5ce8b8d3119c86adc1f66490abe04475dd8 |
C:\Users\Admin\AppData\Local\Temp\Admin7
| MD5 | 75805a8a9771b9cc3308db2b3779bf2a |
| SHA1 | ceac0dd81c6ed795f7f28efdb758499d6314db05 |
| SHA256 | 44b09924c1f56c99f4d37013dc632a0060e14bc7e2d2146fddf9f6887c50760c |
| SHA512 | 00e48dbbae394aecaa5ed266102bfb8802f64a0bb43e3560f85818e881258137c0cd5af9d39fb301c541014e0c97d46acc58330ed801b53b6e1feedc6372cabf |
Analysis: behavioral2
Detonation Overview
Submitted
2024-08-30 13:38
Reported
2024-08-30 13:40
Platform
win10v2004-20240802-en
Max time kernel
95s
Max time network
106s
Command Line
Signatures
System Location Discovery: System Language Discovery
| Description | Indicator | Process | Target |
| Key opened | \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language | C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe | N/A |
Processes
C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe
"C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe"
Network
| Country | Destination | Domain | Proto |
| US | 8.8.8.8:53 | g.bing.com | udp |
| US | 150.171.28.10:443 | g.bing.com | tcp |
| US | 8.8.8.8:53 | 133.211.185.52.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 172.214.232.199.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 133.32.126.40.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 58.99.105.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 209.205.72.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 28.118.140.52.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 183.59.114.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | tse1.mm.bing.net | udp |
| US | 150.171.28.10:443 | tse1.mm.bing.net | tcp |
| US | 150.171.28.10:443 | tse1.mm.bing.net | tcp |
| US | 150.171.28.10:443 | tse1.mm.bing.net | tcp |
| US | 150.171.28.10:443 | tse1.mm.bing.net | tcp |
| US | 150.171.28.10:443 | tse1.mm.bing.net | tcp |
| US | 8.8.8.8:53 | 198.187.3.20.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 172.210.232.199.in-addr.arpa | udp |
| US | 8.8.8.8:53 | 21.236.111.52.in-addr.arpa | udp |
Files
memory/3968-0-0x0000000000940000-0x0000000000941000-memory.dmp
memory/3968-1-0x0000000000CD0000-0x0000000000DB4000-memory.dmp
memory/3968-2-0x0000000000940000-0x0000000000941000-memory.dmp