Malware Analysis Report

2025-01-02 13:58

Sample ID 240830-qxvgqsxgpr
Target c5c629149afc21a3b2f48884e76611d0N.exe
SHA256 689c7da173720b83070103d08258b6bb915bf27b18f72470f3b6be44384a6fdb
Tags
cybergate darkcomet remote discovery persistence rat stealer trojan
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V15

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

689c7da173720b83070103d08258b6bb915bf27b18f72470f3b6be44384a6fdb

Threat Level: Known bad

The file c5c629149afc21a3b2f48884e76611d0N.exe was found to be: Known bad.

Malicious Activity Summary

cybergate darkcomet remote discovery persistence rat stealer trojan

CyberGate, Rebhip

Modifies WinLogon for persistence

Darkcomet

Boot or Logon Autostart Execution: Active Setup

Adds policy Run key to start application

Checks BIOS information in registry

Loads dropped DLL

Executes dropped EXE

Adds Run key to start application

Drops file in System32 directory

Enumerates physical storage devices

System Location Discovery: System Language Discovery

Unsigned PE

Suspicious use of AdjustPrivilegeToken

Enumerates system info in registry

Suspicious behavior: EnumeratesProcesses

Suspicious behavior: GetForegroundWindowSpam

Suspicious use of FindShellTrayWindow

Checks processor information in registry

Suspicious use of WriteProcessMemory

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2024-08-30 13:38

Signatures

Unsigned PE

Description Indicator Process Target
N/A N/A N/A N/A

Analysis: behavioral1

Detonation Overview

Submitted

2024-08-30 13:38

Reported

2024-08-30 13:41

Platform

win7-20240704-en

Max time kernel

101s

Max time network

18s

Command Line

C:\Windows\Explorer.EXE

Signatures

CyberGate, Rebhip

trojan stealer cybergate

Darkcomet

trojan rat darkcomet

Modifies WinLogon for persistence

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe,C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A

Adds policy Run key to start application

persistence
Description Indicator Process Target
Key created \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies = "C:\\Windows\\system32\\Engine\\iexplore.exe" C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key created \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies = "C:\\Windows\\system32\\Engine\\iexplore.exe" C:\Users\Admin\AppData\Local\Temp\3.EXE N/A

Boot or Logon Autostart Execution: Active Setup

persistence
Description Indicator Process Target
Key created \REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{2AAU5G25-1Q2Q-L60A-MW27-P2300DU1H161} C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{2AAU5G25-1Q2Q-L60A-MW27-P2300DU1H161}\StubPath = "C:\\Windows\\system32\\Engine\\iexplore.exe Restart" C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key created \REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{2AAU5G25-1Q2Q-L60A-MW27-P2300DU1H161} C:\Windows\SysWOW64\explorer.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{2AAU5G25-1Q2Q-L60A-MW27-P2300DU1H161}\StubPath = "C:\\Windows\\system32\\Engine\\iexplore.exe" C:\Windows\SysWOW64\explorer.exe N/A

Checks BIOS information in registry

Description Indicator Process Target
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\Engine\iexplore.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A

Loads dropped DLL

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A

Adds Run key to start application

persistence
Description Indicator Process Target
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Set value (str) \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\HKLM = "C:\\Windows\\system32\\Engine\\iexplore.exe" C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\HKCU = "C:\\Windows\\system32\\Engine\\iexplore.exe" C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Set value (str) \REGISTRY\USER\S-1-5-21-2212144002-1172735686-1556890956-1000\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate = "C:\\Windows\\system32\\WindowsUpdate\\WindowsUpdate.exe" C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A

Drops file in System32 directory

Description Indicator Process Target
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File created C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File created C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File created C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File created C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File created C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\Engine\iexplore.exe C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File created C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File created C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File created C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File created C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File created C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\Engine\ C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
File created C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File created C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File created C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
File opened for modification C:\Windows\SysWOW64\WindowsUpdate\ C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A

Enumerates physical storage devices

System Location Discovery: System Language Discovery

discovery
Description Indicator Process Target
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A

Checks processor information in registry

Description Indicator Process Target
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key opened \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A

Enumerates system info in registry

Description Indicator Process Target
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Key value queried \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A

Suspicious behavior: EnumeratesProcesses

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
N/A N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A

Suspicious behavior: GetForegroundWindowSpam

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A

Suspicious use of AdjustPrivilegeToken

Description Indicator Process Target
Token: SeIncreaseQuotaPrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeSecurityPrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeTakeOwnershipPrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeLoadDriverPrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeSystemProfilePrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeSystemtimePrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeProfSingleProcessPrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeIncBasePriorityPrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeCreatePagefilePrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeBackupPrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeRestorePrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeShutdownPrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeDebugPrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeSystemEnvironmentPrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeChangeNotifyPrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeRemoteShutdownPrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeUndockPrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeManageVolumePrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeImpersonatePrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeCreateGlobalPrivilege N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: 33 N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: 34 N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: 35 N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A
Token: SeBackupPrivilege N/A C:\Windows\SysWOW64\explorer.exe N/A
Token: SeRestorePrivilege N/A C:\Windows\SysWOW64\explorer.exe N/A
Token: SeBackupPrivilege N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Token: SeRestorePrivilege N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Token: SeDebugPrivilege N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Token: SeDebugPrivilege N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A
Token: SeIncreaseQuotaPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeSecurityPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeTakeOwnershipPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeLoadDriverPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeSystemProfilePrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeSystemtimePrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeProfSingleProcessPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeIncBasePriorityPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeCreatePagefilePrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeBackupPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeRestorePrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeShutdownPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeDebugPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeSystemEnvironmentPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeChangeNotifyPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeRemoteShutdownPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeUndockPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeManageVolumePrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeImpersonatePrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeCreateGlobalPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: 33 N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: 34 N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: 35 N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeIncreaseQuotaPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeSecurityPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeTakeOwnershipPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeLoadDriverPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeSystemProfilePrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeSystemtimePrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeProfSingleProcessPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeIncBasePriorityPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeCreatePagefilePrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeBackupPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeRestorePrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A
Token: SeShutdownPrivilege N/A C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe N/A

Suspicious use of FindShellTrayWindow

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\3.EXE N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 2424 wrote to memory of 2668 N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe C:\Users\Admin\AppData\Local\Temp\3.EXE
PID 2424 wrote to memory of 2668 N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe C:\Users\Admin\AppData\Local\Temp\3.EXE
PID 2424 wrote to memory of 2668 N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe C:\Users\Admin\AppData\Local\Temp\3.EXE
PID 2424 wrote to memory of 2668 N/A C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe C:\Users\Admin\AppData\Local\Temp\3.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE
PID 2668 wrote to memory of 1200 N/A C:\Users\Admin\AppData\Local\Temp\3.EXE C:\Windows\Explorer.EXE

Processes

C:\Windows\Explorer.EXE

C:\Windows\Explorer.EXE

C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe

"C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\explorer.exe

explorer.exe

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\Engine\iexplore.exe

"C:\Windows\system32\Engine\iexplore.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

C:\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

"C:\Windows\system32\WindowsUpdate\WindowsUpdate.exe"

C:\Users\Admin\AppData\Local\Temp\3.EXE

"C:\Users\Admin\AppData\Local\Temp\3.EXE"

Network

Country Destination Domain Proto
US 8.8.8.8:53 sdsf1123.no-ip.biz udp

Files

memory/2424-0-0x00000000002E0000-0x00000000002E1000-memory.dmp

memory/2424-1-0x0000000002040000-0x0000000002124000-memory.dmp

memory/2424-2-0x0000000000401000-0x0000000000455000-memory.dmp

memory/2424-7-0x0000000000400000-0x00000000007A2000-memory.dmp

memory/2424-8-0x0000000000400000-0x00000000007A2000-memory.dmp

\Users\Admin\AppData\Local\Temp\3.EXE

MD5 7a6fb1ca33a4d24886f5cffed3dbb29e
SHA1 b348d2b89a0273cfec1940a41900ef0e1ea82c70
SHA256 785e90c015118e3f067b603d7e212db4c6717d35a85f4024059b59d3a8af4c44
SHA512 95eccea091e27701d665cb67c13216c8542c89746224944bf2fdb3c49c687a761db20a277595375c32928c534ef4f5419beaa15431177bf3982c827a5a148631

memory/2424-16-0x0000000000400000-0x00000000007A2000-memory.dmp

memory/1200-22-0x0000000002A80000-0x0000000002A81000-memory.dmp

\Windows\SysWOW64\WindowsUpdate\WindowsUpdate.exe

MD5 c5c629149afc21a3b2f48884e76611d0
SHA1 f5e9c57257f6ffe735462d719ce3a341b53334a0
SHA256 689c7da173720b83070103d08258b6bb915bf27b18f72470f3b6be44384a6fdb
SHA512 52573dd2cd70dc4c769e6e275215ee73cf3871bb3c479038714e5177a977e51d83749405f00d9f6d6bc9cf2bd2419e1a5e463ec9f3437f2757f105442b380d88

memory/2424-323-0x0000000000400000-0x00000000007A2000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\Admin2.txt

MD5 49dfd2df72832e0a0567204ee63f28b6
SHA1 422ebacf20f65f75801530f25412035b61059b16
SHA256 95472d7bdde50640f878e5e090cbf13819f79cac96173a3196e82ddcb5cb46e6
SHA512 76ca545949bb8d8f3350ff9dae134da8b5ff0c5151471a1997a92553fc6a0da113ca27461db489fe8f2949f70e9c7504aff63972902fea9711efd1ebf77c7e2c

C:\Users\Admin\AppData\Roaming\Adminlog.dat

MD5 bf3dba41023802cf6d3f8c5fd683a0c7
SHA1 466530987a347b68ef28faad238d7b50db8656a5
SHA256 4a8e75390856bf822f492f7f605ca0c21f1905172f6d3ef610162533c140507d
SHA512 fec60f447dcc90753d693014135e24814f6e8294f6c0f436bc59d892b24e91552108dba6cf5a6fa7c0421f6d290d1bafee9f9f2d95ea8c4c05c2ad0f7c1bb314

\??\PIPE\srvsvc

MD5 d41d8cd98f00b204e9800998ecf8427e
SHA1 da39a3ee5e6b4b0d3255bfef95601890afd80709
SHA256 e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
SHA512 cf83e1357eefb8bdf1542850d66d8007d620e4050b5715dc83f4a921d36ce9ce47d0d13c5d85f2b0ff8318d2877eec2f63b931bd47417a81a538327af927da3e

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 4da7fd7a089e03e3cc270e5f836c284f
SHA1 1a047921bca5febeec68135667c432b7f76090f9
SHA256 59df1e8abfbb9331c4cde48b16dce026664a1465450164fe986a3b2b76fadbc6
SHA512 c7369f5d15d8c31756142b259ac971179bd51ef4133e8a323289249c73f33d6059ed84dddd66d32234e2c89900649eb451a7ff0e8a47bbd64e5db0b6e9a79bf9

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 2ffb9240a55f2fd754997ea9b4107819
SHA1 3e09f59cb835893c9cfb2a3581f0d8d2c4421ca8
SHA256 7e3921580d9cac498d3004ee4c57fea40d3a931da2ed84cbc828b11c5e452a4f
SHA512 e864b8ab8659011b7a59bed15997d74c61aebd92669fdfcfa34da3286996496a414ec6af07fa67e9cf4e9bf3709090cfc8b16dd3da3295d85645f6b34fc9f514

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 82b5b68709aa0c81660d0c52633558ff
SHA1 82e994bda59779443fab2cdef1119b0d6b69a843
SHA256 2811ddd947d9c9ae9e1e0f1a0c46834dd1eba5e96a46cc9093c05cf928d5df7f
SHA512 4a03b9ae5c172ab0bd5fa3de0b6c6a2a72780eabfbce514acb084d36d17fef0c64c0e5716c4c89f9db2aac733da9545e6dd1c89bd2ee353b270891bda23758b7

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 172298910d02f9e1bacb140f6f3524c8
SHA1 5af45016e2431d532727901cb121f4cbd9debfd5
SHA256 2d4e0f2544f6b6c64471ad118be724c90a5c65d0f71925624103e4a086c988a3
SHA512 71392576be08acde80399084da87b8552e957e27db5cf88ab57bc5eb258eb5b5627e688cbe56064b8f1d9ace39751f76d732100a39d304ef1faa704227066b8d

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 de570edb24d7d8f9c61dccd88df9a06f
SHA1 1678f9014a1155ca0dca6e3f43f82b3c969d2fda
SHA256 a19ea86996fa54564386d3ea3bcd835c009da0b69342ab7f8a89e0c949734ddb
SHA512 79805ebf0e34fed9ebbfaf51e9f5eae75d829c9b19d3224f111a10d6b80ddedbb535e8ccbdfe34a5b572b1ca1f64197f96c5e0710e4425f7692208bb178cc893

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 06416cf93f12e3f5b5db7aff24aa274d
SHA1 1aa419782b88704826c1f29fc8d07853b104c5c8
SHA256 42417e78f0d15b8cd3d055bc7479ecc15f2f3f37ca01ad0970f41f775c8db24b
SHA512 eb07c2568eee3ab10e07939f4a4c5934e8d7aa3042db7c2d952373c39c4051f745f9144674fee92fcba962a46aebc7159b441ee3b80463449f2907133d4d09d7

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 5b118c413d82e3e823fb8dad6c1c5ad0
SHA1 20001e0226e3579d7ffc0936b362e468900de9c1
SHA256 22a20e4ab2012942f377158cbfb76c3b6d86a4d71f606af49340e0c5d23297b5
SHA512 bdcc6e4e553c00c71ad9cf65da7491069deb03ab00b4dd3198c475f6b3f1c119086ee439970a973724c5a233f6774ad977ffe6a777d5928d848c0338a7b2f0ea

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 316b02764d92c6fb659fccdc87e95b97
SHA1 43aa3e44e12135ae167247df44bad260653937e5
SHA256 6711aead3b90fbeb5a360648374b395b4c66e5785d5f9b5998792cb24c27febb
SHA512 05ec7319c17b71dd649f2224fa5ecf8d51a419bf6f89345c06fe39b1f7ec523b215a5fd5cc5626bd9a5b1dbe925517737c786af8222da8cc323a7ff2eccdbd6c

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 a1694587c28c8c76093d72ca44b3dad3
SHA1 25d0419587afa8da907b10cf65fc14ade1774dbb
SHA256 f4a751b22deef16ff288ee9bc56cde65d20c80453e9988d578e45a1b806188cd
SHA512 7e0dcb16edc77a696e30e4e229f6efcd594e8a2d9f69fe472bd4cc3c385f3d0a980f7864c9fade970dd020ed7310bb4e79c0a03fdf599e4829cc7f4cbece64a5

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 b737731058a59be1ac92bbc5874283dd
SHA1 0a1a576b1615f30a6ab1d953ed77e31ffdde03d8
SHA256 561a979c5f46be3c0471fd1acd86e6b4a80300504031dce76c2fa88398ba5e11
SHA512 e22b58233fffb63bbd7d6054dd95a1c294023f7db6af98fb887bdde8e8ec7bd9d88db4469c6368c16a98fdf9b4482612d644acb5cf1c72d11d279125c693c692

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 b0964671a9a01e297b200983fccfe81e
SHA1 1333cd226b082b98efbcc62235977ac2bb8bd28c
SHA256 3eeea8731eaa326153623f690f0bbcd3ec4e6ae69b1cfa1769efa3e2ed9a3b7e
SHA512 f4a42cb3d95934941b1534c271f2a325b1830b3ec5debc606e3a72587b670ccc508047fcf02e928e1d53539e2bcb4bb15457b64f9e3074281896d4db94400b84

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 1c47b0c200e548ee3e5677707a49c7ad
SHA1 5710bfd29c2a8efad8033a5a1711615d2036774c
SHA256 ee224c1f15653b4200e9b799f9b9010dde93b5405918147a0729593f426bc21f
SHA512 da86fbb6b83752a6f5f7bdedb38eefa3145d16c49564bd905ba7ecc61ab7d14a1b9a968c2e298abf0e1c94762ea02f9dffd92fe19fb46cfa59b6783e01858199

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 521d0e17e3b7dd6f90108e04ddedfd95
SHA1 27f4683e7f7c6e0279c0b7b95a6f1a00247d27c6
SHA256 2ff807aed54b567c7737fad9628ff196f235dca736ed0689c150fe648b4d2a3c
SHA512 556382c21d4ac83ace097283185b1853e0ebc0c87b16980ec385a99205f6d3262e844a3cdbd2e24b3a93c36e8ad8c17fa2a1f99a40eb380277f1201d6d7a4871

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 fb5fc1a7e9fdf8fc7978ea492e1e8795
SHA1 bb352c4fae411a1139862bdc7dcaa0602239ecdb
SHA256 561e3b9831fa98a23e620937478d67a1ca386483500fdbdff0fca07ba70f2902
SHA512 17355847fafde7f083fadd7247e8a1fe5a4c7712fa41ef445583eace9a445f16697e19b05f211522562593b63124217186a6f9c77ab7ffaf3d84675c6c5af002

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 770b89169d475aa1b3078b0fe063d47f
SHA1 6b18eb25a8fb240be44c41033ad30f358c5b7a89
SHA256 9356c5b37ec88aab6a1ca86137625c670e21876d41688983433b969a8cf0cef9
SHA512 3a8643740a4c5d446ee2ef32e2a8b2b6021943a40108b213434c56871912f1f0845469794addb898749ae0b4778fdbfcaeb6a9a00b52eea44b99b754293617e5

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 4e06cea4b44864bafd4c59eec36668a2
SHA1 2c4800707e679518dcd1cc2f8414fbccbd5049dd
SHA256 f5da62959878620e95025fd8d11fb0803b6d9664a2dfb7b346c92d2e7cb62ee8
SHA512 1a4a0c572dcf4e9e7f0c5d66f4771b23b3bd5afc43a0f4eb072af9c5d19e32f265b82ea00ef28e9a516b9ef013c4f48d317762c1586c03c70f941f33c3bfe1c4

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 6097379287d556b1e18c6a93adafaeae
SHA1 5f7ece01c4d8d90db499f1ea4a19f8152c700598
SHA256 faa403aa31b3cbbc63e65bb206c75cce543a0a0f49eb94382c77bd3580903eb9
SHA512 dbed7f7b1a02fe600464ae6b21ded0a127fed8dafc0146b86f0b63f42128818222097480b889a3bbcd9fd7943c150bf5bd27c9a180a1bb1557666ff4fe03afe0

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 379e9b89dced04f7b04f81b561cc28a6
SHA1 3fb9905de88fa1c3cd0da238281c5498fbbc7791
SHA256 4fd7913f6623e7f5b9c97a9c1fb935452c91bb316990927fc60235c2d14f2ce0
SHA512 be73fa4941584b7feb9639eb8eac68dfb74c9181f6a253454f1019d1d17ef873fcaafa74af53d0d9a8bb28e0206b499c46403ce3082c08f294acae933f65659d

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 c3c754b459692c711370b3e21148fe81
SHA1 3ebdcda5c062338fa4142a0fcd9d382333044466
SHA256 f18b1b3a317f8d9a66ff6a3487b42f4d00d542e3e2b07d66bc001e2d17a3e294
SHA512 b11154e8ec81bdcf618a872e846cfdd6d5f5a817997bd05666eb53433f1bce0677f368ab90aff0dce7aee20dbe5a64ed20945f9582dec2873162c13e57364f84

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 9e1d2325972d0eea842372c6228d0b85
SHA1 89cb116b78d871ee11edd68ed276599103237e9e
SHA256 92eff577e2ef72cef1c4b79ffd73105c7164bead21e4b695f43e49c00c630151
SHA512 1734c6684fc7fa42af665efa4ffd2b647fc3414af27b10f8a1097d277bbab9353b70655dbf44e359463ac6e96a291bdeb996b66822bcc4976cbfabf56f4700c3

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 1ecc2700897e787bdb6cc6d697f1dbaf
SHA1 edca3118d0a5d3145b313efc8fc31b2777b4be0b
SHA256 000e505946902c884f83e81be68e5858d497bcba4dd42b20fad4684ed982d7d7
SHA512 a05720fafa6e9c9fcde4851a195df04d744597ba77f58fab04928ba5ee7e02f9d1a67289287da60e7b25eec25abb68738f1181d4b736375afb95e93c4a58bd8d

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 887d2b56c6f62ab41e9ad8ab0151728d
SHA1 50186bf8a501ed9b3a21b35249d906a805343e57
SHA256 75774f5038ee560672e740afba70cf1b870b812b62147ccc7b91a5b6e039cc5f
SHA512 39a090dff35f88b88d62a194f66cda933b9d1e3cc61834edea984e28b06940c7b5c0ad415158deec978356679cd88055391a3351a05ffa331c71f6efb6693cd4

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 e334e5faed78006457a1a69ef7bc7fc2
SHA1 07fc77d58116c5f16a4372c98238e544c87226b6
SHA256 a0e277239999a2179972992d5b574165e63d693112970d61b9f605174611bdb0
SHA512 0e577ddfd77ed90b569bafade17156a4d281f650b9036d7716ec775cc4c306d22f0644f04ac7ce08b9539303e0726c7defa590d735250060140a7fc655774d6f

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 ea45be74bb812ff0eba936f2796a75fd
SHA1 f55b90d57147b6fd8564c9d17c37641388336313
SHA256 0fbbda994530256e2a2b4615a01068bcf1120ff591b15d032f2c2330b54542bd
SHA512 cc4b1ee2d34a84d8f661104ca6e1f9f5175fdee9704dc5787785513938c55f7532978051fb970bf7387a7bf206b6d60c38de4f6284b8676fd3d40d0c0d511622

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 b966ce259c3b0bd9635ac92e81c905d2
SHA1 818ccabb4b3e3b2e326cf570daa2e3ed22d00764
SHA256 9d2abc272b31e283a785dace5a0f862ccd82d9045ce2c3850fabea1b8d547794
SHA512 7053158d861967e56c3afd24f86075a5f9f76becc709af2cd8b369bb0d3f5ea3ef3d64f43ef1e0e1904934ef28ca218e1d26cf7998a00c67bae6ee894a0bfb8d

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 2760e9e8c7b0049813baf94593cfcca0
SHA1 f1df18e4fedd8e49003060b967e39fa906fd80d8
SHA256 4a034a5f7c859f19828da0b1aaaf03412a031bec710567fed55d69796fffadef
SHA512 167b839cbd163ead7ddca3c2e3ddd6ea34cb0f8aed9a9a27b81033fc07c5e95dc60243d7254c85e9aac82e3ccf0171922951e3b7f7eaafae7ac0d4437d14f94f

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 632d50f510d97082197e8fd799ebd7ee
SHA1 02e73b62df95e6cda0ba31d7086ca866798f3781
SHA256 30427c04ce13b7840a92f3ddf4c2b7c582e2e90ce10694f962da2c4f9c82ffb8
SHA512 a1ec9c309ea264ca1525b14c181638dd9e750ba450db2ea8a991c4435de6011d9eff347e2a163495fa8522cca6302446dc5a8e8f09d85c5d5c383f88b80e7234

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 f46c741bc6049ce6c4a7f3c8b2131bd8
SHA1 7d32fb90efe333ef10cbaa3ee3d22b3678e2e5ce
SHA256 dc778a8edfd38163e14d05a8e8d25c8d58df29f06b58ae38a2ba9b27f588e33a
SHA512 47e81a06dd8588955f6d798347bd23b06314ebae238bde694b5756570168bf718b6271eee5ea66d6ad56a8c1f0a17984d8fa13afb2901a94884145e034f5ac31

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 6a0a8d5a88f13038297974d52f139571
SHA1 2e30ceb591075c1220d112cb8c06f6b768756731
SHA256 8e7640af4db189121ba67c0455d7534ce10d022810c87b1e0074f9ef145022a7
SHA512 96e36f69ff9d3540060b17d4ff25547faae001f7b3be4e9a30788377ac850e27ba91b1c7966727f4c40f6fab627f75e5907b668b9130f5fecbbccbccc6bf9b6a

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 93154b73a1d3f918ceef7c2d64aac06c
SHA1 3a8a896114810e301834d491bb144649d30dfeaf
SHA256 4ebe6d65087511caa98e13b4a388e21f11edd0cd21fc149c1717ef4712c96e06
SHA512 79f3081e354f1133a1223ad9ae4ab18d153c915dd0779eeaa95798babe9a06342c1bce02e00d05842e80ab53658d173c2c052d39b59f0255230b9cbd3fbc798d

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 c3c0b5646a59d11eec1d9a1a5a67a3b8
SHA1 e05e4534d0f40b92cb0b8bd99f1ac0069b89120e
SHA256 28bb6d9fa17cdd2396c02c2df15046cd9255fb0284d8d334b1b346f75f2dfeb4
SHA512 f519b944ff76cc1741838531f323f34f27ffa01ded16ac4f7f35d6cb350dd95532545ea8e0d5047448e60fa6463d81657925d257319f4971cd947439c693289b

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 07930fd4f4b59c446ddbeb90afeca51c
SHA1 fa7486622417b9c0e68eb9663b3390f262c6f26d
SHA256 da26ef206d60fb3d3f2d2693620d71c949bfec99c7151023a432f55021ae92e2
SHA512 9d620e0d55a7c49bd73b7d492f77a2e8f0107e880527da218e0320071bc1246fb4cb9ff5b416528d6e08d40ae8e85465d131994c62c3d7169a7356bc5b024f8c

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 9d36764969fc5154b1a983fff0b99108
SHA1 b755fceaadc0c90999e8e669aa08ecc185adc184
SHA256 a558504062d597cd9de988ea0375f35926c0b882cfa93479fb867c2ec29b83f2
SHA512 ed5d8534de0d39388574e8cf302d25f4ec112b6c40c5aa20b477a6711e9b01866a8f5af23d7af1bdff4baba21453e5e2fd597a092d6998507bd716e9011318d3

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 9da6e9622bb24e84c98d9478a1cb7ac3
SHA1 ddd081e4340efbcf3744b46ee02a2a3f981cb432
SHA256 c4c5f6d0cb49106681e3496d613b27d2bd211405c25413e81d62f6e728c93bfd
SHA512 a747dc145e4ae0086427213cd2fe56c3d8bcf13fe5d17280edf0bea0d5d15583f95f39a4e1e97d84a259eae003be7ca32066c5f90046543a7e9c356b3cfbba24

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 aa5d2ff43cde495841de4ab75fc86617
SHA1 dd6ec170c55e1d0be92bf8a816d8f5e6a0762a2a
SHA256 3f5a3d78b7de2f6d09c0f148d128a41f7dc41d915c0915177164681d1bcd6f5b
SHA512 90fdb6c5f2bc83ff61c567c5eae70e96b317bfd38d61ca6ce0148964ede0e8c1b327c895a91ba7678673c55a15a0d7cf21eaa1f57fbcf99ac66365ea4e6f86ec

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 2663a53053c5c15c1542a37932dafddd
SHA1 cf1033dc956b471305a6cd1f4d1c074ce9194aa0
SHA256 e427ee2d4b6b200a3ed000b04dd4df3d754895382ae523248fa281fa1c48433f
SHA512 19a498c0ee6db5b1ba2df4516457d086a23088046476de191cf96482ad7c849e8d276ef0e468ba0513459310a2dc243b11fcdcb5b94e8f5273f1258c2cd22d02

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 b987c811ecf4cabe74ed8f68decf789a
SHA1 51e79de68af3c0ec1d74c45cf460ef0e70c76e82
SHA256 a3d0895b6ae702e99d85ea4482cddb04187349e90faec059a2042083a5b4c00f
SHA512 f9661e44f429efb04c0245d3b091aead2457c5a2a930ce62630230b9d57a753d928b105b1d2ee7c01741e132257bf23db87f8fbf1e0f3c894ef2e8dcfff1d8cf

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 b8ef4b304cd415e2a8671f57853de78c
SHA1 cb4bb9ce437a4dfbeb0bceddc2ad3697b3a4a474
SHA256 feab0d4fe25aaffbbc3f5247d04a77efce8dc42865dfe00de36b240395e85a81
SHA512 98e53577d879449e334b14ecc2ed7cb58c9fcdf9e35faa726ebf4acc74b727d1c9182cff59eb86dbbce268ffe0712e36e08f9b56ef2bd5371608d5312a434163

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 7398ebecba6eebab3f714ba62b519548
SHA1 4b325379aa51ea8f251fb78daaca83357bb0c402
SHA256 cc123b399bd9acd5783807e3d33ba669c93d9ee22e2f7f1c177bff5fe385a528
SHA512 5c3acf95bbe289096a3c9ca32461d813f002ed4dc32eef80002696a5b802f7bbdc1180319eccc51d9674af28ca5e46d46e3bf3969fb8c452d08b058d2975c369

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 f54ceb128204f9e7130b3a3316d39f97
SHA1 9801bbc4e0bfb52a6bac24256b410c217bd30ac2
SHA256 faf55285a2d98474186fa795ef5d70bfab04d0485c0cbc37c5ac929839a04d32
SHA512 1be8c7f16a43829595e431815c78c941f46c62c60d085fe7673aac0bb0e4be9d368fa7b7c1b5d052d73174be5cbc95342fd7fd79832ea806f7b41481bbbf315f

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 7c8fcfdb56eb5e491a13ad2a55a3e40b
SHA1 7a1008206582aac9bfb73bb006e0f45b789b8398
SHA256 d3552e95057b4e68b21e449c1feb273683696c331a7bdeaf752675598258e956
SHA512 cc4db1cdb60b240bf54eeadc2c842137ef514c58f395cd185dc08610eb2480d2d02c54b561d38c3919f70828d7f7033415185bb72852f9b95e0ac7228bfde13c

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 c06c982034b08da2932d087438d1c5d2
SHA1 c07d9ca98eb56d5aab0aa0aa0e2813df6426b25d
SHA256 614fff417154e48b2ac98769e227220085d7c7f58ce9665cf3b3f0e20feaca3a
SHA512 2649a80b5e7441a81a431e9b62e3d8402d0b0b4dc6fed0603d0dd8f69f820099ab05209745a1fad2bda584b6c00b690725f8763c5e5c9b43b7727557b99bcd7f

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 a615287cc779cab50a4e91920a2262d0
SHA1 7285a20bc6176c6efd8a4532a5be78c0271d5beb
SHA256 ca74d2204f05bfa8155682e03f024e770d3da6f0a219e783b1bab180203a952f
SHA512 c697e8356cc299b15e70379de158144537c8d41d37bcf0407d3aa43c9f7219e5616c9296a91d6b0a4a6d96233ea93c415fd3093ea90ff7b8025f20035cd11f30

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 9ede8d00ce918bd53e99487a2c72b88d
SHA1 250c5b63cb1b41449ea99b31cb31f20e6e8501ff
SHA256 25947770748acfd4abb5e9b5c7b671ee85f8cb489cb8110ce227e6788fa25c3b
SHA512 a18fd622b7c06390ade72ac176d8cffb059c88e9b8070126b20ed2c3a7a29965335aa968ca9181108919e628fbd84e05d125c0d986a14d1b4191d5ea5ebe0391

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 2c9f3c9e54ae5c6924e5d6e198f7481d
SHA1 add6171e2a5a5f5c7dc6c34b9e8fb38e2321f1b0
SHA256 3bda27232ce230bb820fd5dcde546d6b79d419d2cb121771fed93999e7205dca
SHA512 ec7d59fa14d9c69c6b35ee829e8114a03cc80a95a92b3d36a84ae37151a9750f6e69141c0d92270c2e426f48782d677e8accb0f1cc843865bc1dca57ebf87805

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 b8c8b9661b7f3fd57b75344911875122
SHA1 88d4e9c29bd2826146025e8b1a5c3fe5af012672
SHA256 965b5031e9598586df9644244e8271a7fcae89a7b27821dc283b82f989788a38
SHA512 295898420ce5c3acb475891ae967e30e02219489fc81fdd4e3f141fc7e9c3a329df74d5262d4dd67a55a0c961e95503123e5fad6a26305b228dfa49a5a10627f

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 38dc5a75c22157a163f66aacdbe7dca5
SHA1 722e13d34d069791fff5b395aab206fed84e3122
SHA256 c96b7ac819490694bf49fe01e61d911206dc3818bc69735fee9e28da9d357c29
SHA512 6215dee344a7492189e1b040675bfeafa1979ffdf7a5feaa0e82fd2a469b340eacf7b14443dda96de8ab0fa2dab2f2729585e8ae0edfd42b3a8c3678e69c8ef4

C:\Users\Admin\AppData\Local\Temp\Admin8

MD5 447a80504f23d7f7f64d089c4763cfbf
SHA1 371d3d403c6bbae1e2987a8bdc0a765a0cc047c9
SHA256 d33ac8142a127404a036c79953fcf6b66e3e2caea1c914b7f74191e567989c7a
SHA512 f4e906669db3cd85c3fe120abde8e8aec8fc58661ff8a1bbb83a9c0df9f73c2cba3ec63162eb510864383423aff01da867bc8923931234fc526416be4124ce7f

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 3f9babc6686f406b5832e847141ba566
SHA1 3ea38f36b60ba6dda5747d0058e3bb10c74b46a9
SHA256 3e9d2a3533ec9e307d066a9db88ec803888b793b2e59f100d7d031739ff6920c
SHA512 4cf7c78bff6bd246782db015daf3ec0ba52e1bbd49208f9e4240fcc76b10b441fb9b760012bb430177165d45afc5aa66ba6bcc08b718ea58367e9564aa0a1ec4

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 8144e904c18c528c737a068b337ec137
SHA1 7dbe32db55fb9ff0c32ab6c9ddb44d66ae63088a
SHA256 4c59659a87a0090b54094af7d422c39dcadcc15172d8f172a66ae140cc2c8a01
SHA512 04d4a1562087da9c0fc8338997ced49fdec580ad16ce4620f4bd9b7aae14d95ab1e42a5fa26e97ad7d555e70ddd2c2f9ecd3227bf5bb2c57ce52ce0194f32e4e

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 e721d563c2e25c87fad66692437cb90b
SHA1 9c82754b6b562d0998c7e30e3b609f788a7f0a4c
SHA256 7be21273a8d009d102485fa205f4c1987afe11b79a656e8d94b372edb86115ae
SHA512 3d24a168ae5d8bdcd240a2cb4be6700d66f8248d1fe45b0b15efed9fec3d7768c877d575dcd71a4b41a41a5b67baa5e7d83d893bae9428f15fe3f50ebdae8dc4

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 072fa678ecbec5f3b4dfccbd27784793
SHA1 0f419c616ec4b158240d95e7618c7ecb3c0c1013
SHA256 58db30b39432b925877ff2b11c0ff73728fa34a86c2d20039f36fdb4c17246b0
SHA512 aa820ad174421bb9e26153bdee03a91685350592fd1c8b092e0ce6b6170d28347aea50ee1b10400e3f8af53947d745cb0067500023d511741d50238b62461264

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 55c695622d8864269ca3fa1cdaac1d47
SHA1 6eabbeaffc458e8cfb62485b4525d7f6d62f2137
SHA256 73ba41982396c56f2129997c783c6f6b721b986762f5a214d9d752365348c607
SHA512 2e8d23934476ba3fef845b0e2a4fd65f6baccae5c2acd6a16e7a80d7dbed5b506ea5878463918d9163853d568bade68277456d227b82163b68eba14ada04d3b9

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 c55b4640ea80063a5d4d910a16ee55bb
SHA1 101a44419e7b184f22bc1eb1b3bf97ffd8bacd8e
SHA256 ce6e9e089d4143502389215fb726bc6a5834391b055b3e5e9a4c9dd60e9f861d
SHA512 e554eca5d10a164d11da9d74fa4b8d07d7264525f951476fe8c2c12630434b033e1460c181ff092e42d5b88c4d599ca89b2cab3324c45c9fdd58267314adba85

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 a4cf1056e2598439007d10f18e1d3073
SHA1 8cd083db0d623592251e59a28a421535d4275e64
SHA256 e793dbaa45eb610d2de224d6cfc5a8610bd7cdef158c7e26cc263659208fc6d4
SHA512 87a71ec0445e25b9583b60e13e2c2c851c6a2f9d7a24b4e257dfef2903645ac19834fea03214a0895cdceb0e073e36bf5d03280ecde17d253f4842cbc8ba3064

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 56fb9ed24e61e5f7a73777a4c865f03b
SHA1 6c5b0c9410571360cedbca9d8e6b043802592b3b
SHA256 5efecd24c013058a4afb20aafa5adaebe2521be065bf4176a24818cf8cc1c972
SHA512 29ff797d194a375f40856f767c277c494be350af40a2a5c95d643b2921b195bde5322ed6366c111a8659676f89af4e3f6113b125dc23f47f5276bdb74ec3eeba

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 cea2dba3c74fb012aceb52fedc30fb80
SHA1 ac15311d89e3beb224a40811e82a74dd9cbcf94a
SHA256 2c3051d1ffdd3e8a308fa437d06b30451bf6ad7805f55b033f8d88010674e8c3
SHA512 33ec9906c9253285710ca7ee87ee2b87241fc8f23e68a4fcc4c57e3abe13166b71e2e980439df38c38832495046a895ab7eec99dad1b5f586a3f0e0808dfafe1

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 16eefca29af7c498bce45e5a778f6b04
SHA1 bba312e3c9ddd755ba24235347f70f3337a61392
SHA256 b90a5981d567a08e22eaefe606243a15cb2646e00bd1f462eb812b1af76af7ed
SHA512 f1965f3e4cfc9725cdc784efec2c05e183f24a772c27e5ffe436793be0c047d7c80f91df7d258ce5ea2abed4a58aa628a9f853585f5d3cb605f316854b4c15e1

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 984a95189c4ce8fc7ff4395d3f79ea4d
SHA1 1236ad0c26a02567cb662ae0aa06712e375a925b
SHA256 8542d440c87d2f2b0e6de647238b86243aa7e2490b59651e7a89084395798fdf
SHA512 f9207c4d76ce7064ab2edf8f6b2d0ab0de97f853479d236b8122bb7f75ff9338df13e02fd1447a6224037b4378abcf402fd2e276884ad0b01a92e1291e88ea51

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 ce9216a60f3a69f50c2c0d1d9c4e289b
SHA1 2eed37003c08fff4b80657b5c98ae65b6f149f40
SHA256 74a2c7414795ab56ea42048d978783bfa44f625c8d34d4acb9b881eea639cae0
SHA512 a0feedd1e4dd4af347148e5e256766f6a245bc46d9b930d05d8f72cb7723e4eab6a3ebf2591f686156405f1cd70690d508b25163d33e367512d09b1df5fcd2a6

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 9706af9eb2b2ed4cc5705c7893297e8c
SHA1 c0eb813978fedbdff679ac4f0aea1626f7df8b84
SHA256 d08a8fe4b4f4de42a0de80f30af622293545ffcd6f78f868cd0b36848e8715f8
SHA512 7a0164da8caf6bd5231b28b2c617a9fe35285e0638a3c00e80d6ceb60f0a803b48635d797be38a0ae523d06d975711a3494e28e5b7fbbde6dcd93b1728fd7fee

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 6efab9a79e83ae4c6638b9146f0ee057
SHA1 edc807c4f79a2d40818bb685b1a139b4494bb43b
SHA256 0f039ce408b930ba130038246e7f8ebba0d1a533cdbf09c5598743d36cb01566
SHA512 cc59abc9e783993f5be40cc3b8cb563a46e3992ccaa303f5c813e37fa598d2094b1a42ba1fe8282945da7ad06de9563a9cc50d91f959bdd97890839d6265f83c

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 e9eae20bfe186de385a0294326e19599
SHA1 cc57e8639a4e809d1341b0322013f8e089fb70dc
SHA256 47207a800ed15cc6c2568bbba1c56f983653dbf0342d10e092af0be085218a2e
SHA512 7e0097c1917b04bc6ce1fcf15f6b89d64a0dcdddcf156c0bd76928eec5be0d89b739f77bf31b22f9bc5fc43a5c887f12bd85714e67344b1e24c0c9fbcedd5fd4

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 32befb89c529a84172f59c940cb9bb5e
SHA1 014138c8a948294016d3cb58fb440fcb3d28f1c2
SHA256 e44cac4fd520fa1c69d8e5d172c3b0e4d2238dc9bdf186eb6f1a9d79afdf9950
SHA512 19d8e201eae7a0039368e911b4d21487358f8aa53dc62e0b2ab25e8fca2fb6fae42009e8bed599a3ebd40534a96f6297b1d513c4fa606d11af56ff0ff1573f6f

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 ab108a23a70c12b62762887662050da1
SHA1 788840d8f5894c28c667415f2e05c0583bcaab65
SHA256 54773c4931f3788bdd620b8369971f0a0ce235051a2905b23344a8967b9465f5
SHA512 ec859053441242d437b663da7b0e3391035df2790edcf5263a4abc06ebc5e64167ce02a138ff133fd700a6afc609e9a0c6727a37f6cf9f4a708932ad10c9fd8d

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 778e4aa968eb1d91266b91242b53977b
SHA1 78d83afd254e2aeb968de1a66e7507d935bea801
SHA256 f7ee936de17e708acaa97c2ea68f6ea9062286425794f817d2797069087c393a
SHA512 922a0f04a2b6849e91dc3f0dfdcb75ec9308d933c2c7c17a08b1da67cb3f237279f2a233c462cc1247a4a0e926c5438adfab0e005d963e1b97c8cdab17d33e36

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 7b6cec34e0ceda345542d28a9a90762d
SHA1 f37bf72ef3339abf13c018849f676e4a6b2f3418
SHA256 e7eb87626d59527b463a8045d805db5795748a636bca0105c742062a5f0f2325
SHA512 60cd37eb361cf0312bccb594ada4d630222eb7e6c12969b31d7f86eca9c16af995079031d0ec6dc9483f9924f3e661a6ed92f6097b14b056ad29d0fd3276416a

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 7f954eb5d07ba1dae8e5673139134294
SHA1 19483a029e54fdc4fee848f01da52aee39de104e
SHA256 2fdfb8488f2ac73c11681a1aa85bb0fd78267c442909d968294ad490563efbf5
SHA512 e52a7d5a60484b1fe98e93d4b967fe80c7424186e9864c858d0ae8323195f8e5812e65def246f45534a5188e9d6546ad1dc63a2edb939ea5ed239c86ad85f957

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 0bc0689b7dee031660838dfbfaf3a94b
SHA1 a77228e8560b445fd8d71427dd4fb8ca5b640943
SHA256 5f074aed994eb7a48fdde1cb59b6145ce135946a380bebb524a08b87b0ec775d
SHA512 1f60bde4e3a012a655bca9663e2fc73dee5246065c525564c50ee48ca20c133110a69fd931b66b0904d550a4ef87c9f53f36094ae2c240db554582913a3a3b1c

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 c4ac876c6c143227df0a9b5375fff09e
SHA1 76ef1957f369bb876167923aba2710562711c62f
SHA256 6e8244c507e5f503a078649e2ce3c7722c9530b2f918c5eed0401f85fb18a092
SHA512 0f913811146ff5ace41d6478bfa7743312e0e6aba28a2427e04ef4faa78f2035ff3be571ac9337cb9b270d4dec89ae14172ef6465578a5141e66db86b3ab7686

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 c0665addc18f99f4893accc08ed5b4c8
SHA1 76c5120eb3a52efc820dc136317fb3fac89fe8c0
SHA256 56c2aef242beecbb55f4048922ee7923674cd018876647824f945fd1de473dff
SHA512 405c286ef6ea6302505c4f36ffe02453165d099c29bb427cd4c986ede26f9940be4768b235fe7940dd743f4be8ffe63c9721fe16e69e8b0145644c7518b4b334

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 c7c6fc91c66dee9d4629d0b2a050e9f5
SHA1 08e2bba896ac0bd6a75fdc4c37b1091a0f94206a
SHA256 9fee6950744975fd136c307c664ad6de960d4ccec63b6385999c5be48b7bb31b
SHA512 7ec979e9fb417aa6ea84daf348adf93970be09cd20d64166a82b069adae132341acc41d1819a19c6dd224a38e7c474479f86d2ddb4bc579c8e32a5d2375685f2

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 605e70d0245749389f5b24724e612ee5
SHA1 aea5e5a7b498995dfbc4c2aa89fb4c49af7afb0d
SHA256 c70f00c0f5a8c36d3a6b714ca01c0cd642c2fd924bacc606e46963dcb12f0d48
SHA512 64ab44925fbbb9406ed2dfadb406309336041325f13117bb75bd2597e0f47b9d7bf46c249c783e020fa90c5ccbadd2e212584619ccc8a87e65776d058e41fe2a

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 e6dac53141a03aebca3964b38dd97741
SHA1 e4b65b43dce0f3c371735f44212e2244414919f3
SHA256 8a4bb9062d90b72ada5cc2f9b6a769e8e21f9d549876838539589782852945a3
SHA512 caceac53154d36d85b4d52a14758db786c860ce43f42cd2c7b7f9cd307aa21ece4f69ad96616340b59bdf561c291a4281eeb80ad4cec7daed8d7f8cce82a4935

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 a80881018c7af2220dded9bb2c5d25a9
SHA1 0d214b934b7c8f99a876b7b4be57a7b5ea9c8b6e
SHA256 74d456cc444c95e6300eefe19017be83e40c03e1546bacb12f23aff616d13252
SHA512 e8a905f229a54ac813f68cddadfc02250b34b26bc3d5a255b61b89bd03177a7263e8630705d835b4d39c068aa08366b8e3b528f71f2928d4945c4e8d4485bda7

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 cfb1784d118f8bd6343b895d12e41541
SHA1 3b99ea46d97f31e86a362bf851b1d96ae123a47a
SHA256 aaab1de8f4c787734c06ed7889fde680828f213af8169bb3ef9e694a75eb1750
SHA512 44d76b04ba4e94a5b6b03dfd8c58ce2a8ecbda3fb421210d5c71f77a50ba31d1d79802a5b01cfc5193f290030e902fd0d9fc93936da36178e2679dee25a56334

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 4a71a61e62d4be50112a34be3137918a
SHA1 ce8b370af2f864fc4a7ef0d960484af3a71344c8
SHA256 13829e14ba0e8a5daba1b52777f20278dfc028d7277d237f41b2ca303157c0c7
SHA512 49df690a16db790846680f70f1efaa1a11925788840ee082562ca9be79a9d16184479b033b9fefcb25daaafdbce11bab861dbc95b9d07130a0cb89aac7aacf3a

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 595825f4b458d1fcb751ce5f451ec5c4
SHA1 c72d2a8fd69bd5a4be65a4e5fa16d5fb346132f6
SHA256 d7ef3dc42b9445804191a862c4b41872fcc8a93198ce2a279f7efe8cfa4c9c7e
SHA512 b1c4a3fe0a32b2c85a5bcdcd20e4a56fb82041f9f6928c0a16e6c714c275b3534ceb682507ca2842e63a5a973ab757f6bb410a04760941890f847059983e912e

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 f0963bc65dd0b05d5a6e0c025f80a846
SHA1 cbb8b37b45f15d6388ad89ad7d727a5bd994222f
SHA256 69fad4b3c6d50aeb2737d440426136dad9da32b389797def0188a4c28cd211d3
SHA512 7334ae39fc74674958a4f58b464f2df084863fa751f536d4bc1697aff84e82134c9416d8820c370e2b486fc99f95321da1e5a2ebf50d1f44b0ab278e04e3ae1d

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 b83b6bc943aa0152053ac9298c1215c8
SHA1 9afc4ce66a1935cafa43bdba74eb1a9022111d54
SHA256 d20516a60b8284489e64b89c4486e9d512c0b51d0386cedf635e60f577e8c81a
SHA512 4d017c2c6effaf35fbccc7c9d17f3eb97c73ffa77d19888d9e1319ea81c5f6ca83779407f321ad568db2010a01985eeb014606737ebbd62f0eeb4696adcefcaf

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 00ea0de4764131e340fe779c48a08470
SHA1 b333a7e658544a03658a85801a59f839e55fc870
SHA256 91a4627a446366fb8138b8047342bd766e1dd4e976a592dc56846bb58dd8f80b
SHA512 d71ac98833cd0ee8df7999731e9d0d1e77f243ed680a69b7a2127228b6200802426c83f307b27a02e6c8c205fd99659147dbeac7ba591e87bd071245a5e93f04

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 70eb48bb4eea5eb771f86d9052ea54f6
SHA1 9ea1af68af4535f20502b7377674530d412aa12a
SHA256 000387c16cd40f3fd85a29e3b1edcbea613eddadb05b0dd1d0b180469fd10f50
SHA512 101ad275dfec1702670f9d77a450e605b3af7b861d9e04c4fc845d7d8ff92bc85a56a16b0a862a880870a266b472aad94ea401d1b211d313ea0ffd251fdbdd0e

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 8f0e6fad1050f2f7061f72df9ed5a6d4
SHA1 7b4afbbf40563536ae463ae8192d1d02fe90850d
SHA256 87a4098791df868eb70445cd1bb5d192643ab61890b0f9f7b15500090196bbfc
SHA512 9b0a3c34a27efc531755080624b2ba5d936d365850c4296a1c4671f77b42f8f9502d47301d49555b7943bb025dfaaca34878ec8bba3bf92da4803a0db5f82365

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 05091f850e087465543c6b09eb850bc5
SHA1 53a00bd62b54bfad431316b32c87d5ee3fd56d51
SHA256 2b9c59642bc5148ab7c465422f99c5a7df57680f8c1817a7afa0b176ddeee731
SHA512 2c385bb854beebbf2024a210944dab4458ce60ec24fe3d791d07ac553f76cd8aea81c6845f59083e1c44c32ea6b4aebf8127cb1df3368a70ece27cde6c2ddf87

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 5baf770b083b516256b64936a82a54bc
SHA1 f781fb4106b22fa064febab39b8f92c546b4f62f
SHA256 453f46974be63ada65e73e2689957bbef597eddb5f61b85b41464036a1a88ca8
SHA512 fc7a1205afae7df5e3c339b05441aaecaad816e5673b3527bdab0850335c636e2aac72a977a19b5a4fafe0de7b24beda0cbc89f524799d7bb01000e797d581ca

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 0a545f9a04bcdeaa9862a97501f6223b
SHA1 6b37ea6ef05e48b33f9bbbd8b345f95b96ef6676
SHA256 a4a2e1ef23a36fb75d54e63c29f7e6aaf913072ff2386a14f98802ea9a6334c4
SHA512 09d65280a9ae65f5c108ab0cf05445339db7c7f4cbb8a3afc11d1ba98913f52c093b3d88b0eadaa3b5525ae79f8ef8ad314ebc5ec620e24a710eceeee6dcf3b7

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 742539a139dba380c057c2c3d5b9f209
SHA1 6054b5a450335d715b214ee49f6dcbf769263c45
SHA256 3dd473b5e1e58edfe1a768f0df0a651fb924ff3a28c41cb7bb3220634c758680
SHA512 a1e4aa03072939c559a2c3cc9a4714b95c608587bcb672074a90324e963781c9c8207a79619e775047b1cd1c2c061fc574b6c07c89b5daaf3eaad33cc75d06e4

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 9c6f3aa4380f0151ae8937ac81d78261
SHA1 3c5cc6e06d2700d02fdda4b30ae9aa21e0a0182e
SHA256 a7d34567c63ac139f8507b5911dc0ab5969d91e0cbeaf1dccc12e382ae7742b1
SHA512 87590dc1f6d1cf5e76318d6335596e504aefd8a608f6747ba5dcefa185246f244b85fef42b41b6a8834f93310028b2156e14c9523abd9992121eb68ea87ddce6

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 d926a983c39195e8727c158eed81be0d
SHA1 0593cf19685010b99969ac2b9a74c18d0425e95f
SHA256 dcc1a4de1c9b590526d3dbd37c10a5b4d783a2c724a30be41960c0a54adec99d
SHA512 1d42f727e4ecedf7727670d0c03a21ffc9222012027563830f736badbe6990dc0cb12c95d843e2bffb6cbe235286c4fce7b86f3ee1dec9e7671b506dafd097e8

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 759db9f66c4f0f038d05509ffb28370c
SHA1 45638526e7f165b38b4bbf3b174e3186f2c6149f
SHA256 0b64428094247969282019e5dbc0d7b47a911203af8f6d53bcf28ed856f32786
SHA512 85a0e2b1850779f23b26c6a690fe6a0a1f2f0f4f9ae161036ccf9bfc10e066f8dbc673fd023ce1e51468e994e82d39afc9d633b2b29bd6cae11e0b27f63539a9

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 bb6d3327c896d437df98bb3be09ce0a3
SHA1 5aa44c1fcaa2ad8921660c099012fcabfb42b594
SHA256 37d5f098d839ba625941b4643ddfe9a910aadfdc62672c23dd6888d52accfcd4
SHA512 3e23d01282094e62f6ed425d98e97ad08fb037a86b4a327d5df4e34e64d673f74503413792822c055fb772838d433f68b558eac04974199ccca6bb0669a3e503

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 3322b5a6b7a2efd67989c437834a88ee
SHA1 7b0251bcc845990a8cdb22b43e7862eb4c03e232
SHA256 fb552dec78fe6e90a141a0372310f29acf9ad6544eae7549da721a17dd369548
SHA512 4ac9e27eb809fee3f5e8ea70fc3a616203a7c251b1d7a559f34008fbe0ce6432e6d04335752b70c4bdbc8cfe9adcdaeabf51058edb03837279cd839470291c3f

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 a57885f1a14a7be95c12da02226e4060
SHA1 1f7fb8812fb88893fa7c1ac0ddf9b94b7d528e49
SHA256 629b1dc020ca6967ec42ec35bad6a8505f98cc61a6524408f398c43bd17b22b0
SHA512 3aba31ce6096f604542e2e3e9cdc12472f8ecf48c8b43df6aacc9f2148a595856217176e41429263dc6ab365324a7fc0603117dd121b90388a6658e0d1d0d40d

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 5d9142e359f666f00cdcb0187b9021cd
SHA1 b2ed9961c14b6b9e981f50349c475b8f12e6eba1
SHA256 4d98b167e7e6c3c794377087287131bfd7db596d5775124b0a56f731c731c759
SHA512 be0c27a154ef72111580db7beb1f3c2e59f0b39602f183b50e058797e4464313e8fec4eba8cce8eedbd5ebff9c7ef35f5f4a6a23fd7223195e12a30d991b4fc9

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 eeb17fc757abce50f4d74c6e4cf103ea
SHA1 366d3573e647d2130399d7872129cf0029172cad
SHA256 cc96b524cefe122c09968ac4f4d627a6371c438bf090f031c48ec7bb405bab67
SHA512 301eeeb88cdad14aa3c20fda21f515162b09144c3ad4f479fac986e8acbffe856ec774f44e26ed6a377e1373fb1e83f37322f34a9e9750d3a3259ba1f8b40467

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 8a020234e7993d7875aa27bc793aaaa9
SHA1 307f692b771749d706a98dcb1cce25d5d26ec64f
SHA256 1f1593156a4367516c97177357954ab87f2260e58d25279adcbb2f6c3365b829
SHA512 49ee8d5c389f90a793d59079221e67ae17c9174af361d4f5e1c9fed5f8971ac46f00a838efa12482ef0560ffa51a3b28d88bc4d1414903bfe0b71926f99d5d57

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 8c4f1faf055d937b97ece5899d8d2e28
SHA1 d2ba9df599e4b029013c2b76d77c2b9e9d367963
SHA256 d85ad87c5b694f370eed07e95235a7c9f1859a26baecd7fc904a48ff2a88c99c
SHA512 b03c57ce0d0c84258eb240a31b1cbd7ba08eaf40abf225c7eada9c838bb84543a9d5fa3c26642c090907215bce7811c32b60f7bef95d141269d293581f787e9c

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 59015b9e2e8ad0f57fa8bfa92af0364c
SHA1 94bc014554315f0c051ef7c79d88f3bcd8b459ab
SHA256 f71ef0b337c043672323c3f52df9db3a3c36ad00d4e994838ea9219c50ad3288
SHA512 04b0f43d5b15be5c22119235121c46d238352b20f353b3fae2a13800cf2ad029a4b08240d9c1267df2942d4b33ee388f04c8a0324db36ee7c0369cca299aaedb

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 489c24f4c8418fc06f9274ffc4bbb9c3
SHA1 3041baaf7f4f0789fde122bc2683c7c2dbbbdb5f
SHA256 56d1e8d81fa102c077b1fe51993a533ecf26cffb322dc68076eec46f3d22d8b3
SHA512 7ab34da006135330ae8736e178e8616e4bc6bdaddebe83deba0d98343156adfc7e1e5c38842728c808d763994cca7cea55d6fcf2596981efe7061ec4250082e2

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 f101939c0f2ef894deedd1fa7950828f
SHA1 ca92d556e2300153e84e0fb46f16846f0c192096
SHA256 5a9115309634f1e4b55189b6d7a3e225e6531d1c4b50a9e97cc571fe1a87ca82
SHA512 b1ce6848aa3a1c646e681147f943a2f848a470825a0c547d88481a8d76c7b66819db7465612bc36d9d8eb5a207859cf4a85f71d513051246789204615ef1f7af

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 d62e583723bc18e89b203d6f7df4ff8e
SHA1 5e17362b6a51e39b8a05088182b6823cbe756255
SHA256 b0d0d436d28d882246654de3518192c0faa9dfdcdd89e52d46f1405833470f11
SHA512 79a139f787368fc54943661fb02177ccc327b0e245a232d2fdfb1009ce04c91a616d598cdcee4bdd9ec3bb3b167eacbf3fd8be374258266454770fe93adb6aca

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 18e7874866db3bb532722db9628bb20c
SHA1 420d1c96a2aa56f7149243f4fc598c2a86fe5ee6
SHA256 a4ec42e076195e13a5c62e8c64a646b78f163c8a6dde0d5928e7bebf795c70bd
SHA512 d70af9baa7e2572986823fc4e37869ceb7ed27547346a361ce79a45002f3cc8182d59c2bd444e2f250f295d427976711bc3cf5c0dcae5f26490a667884563c07

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 5edfad304aeabd1b0bd6db4ed23cf7fa
SHA1 842d44e204fa692f7c33eea863dd56c9fceeb4ae
SHA256 56d8b10e90ce72b8e7966eec6513076f5bb5c9dc5dfcc2fd7771033a22f126e7
SHA512 b88e3d07eaf2b9b391a4e6335929884d076f8653595d93a1e40e9ef63840e16e8262d6ce2e375b06bddb0046a5e72db08d3559f800070e98fc64aa186233e67b

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 5b9d7429fdbbc97305acdfc12766d8de
SHA1 29b1884b6d2a61b5df5b37d5dabb1fbedcff2872
SHA256 b2ccc2365be88515a5b50948062f48275efca114504cc6fb6f76c90bdfd87fa8
SHA512 62dd1b171444b3d74d5a66b61dc546911b52491acfc5ef8d887dc42ec2640c1f456ff75c72f397d680f2cbc18dc3771fde0e027e909376a1defb6523cfad6755

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 ce1e92e4ab17ebcb164b117ba6f05ab3
SHA1 b509512481c50f3e45a122338c28b5cf591bec63
SHA256 4f272a9f478372edc4185df5bc8d2dcf33eb549e9e4d72270ba5479db4a7e5cb
SHA512 3c4e7d3fd029bb07a4141c30077b56caaba530a37ad0ac50eeef5df015a1fa22cdc895a84af35e5f41f045ca9b7eb5ce8b8d3119c86adc1f66490abe04475dd8

C:\Users\Admin\AppData\Local\Temp\Admin7

MD5 75805a8a9771b9cc3308db2b3779bf2a
SHA1 ceac0dd81c6ed795f7f28efdb758499d6314db05
SHA256 44b09924c1f56c99f4d37013dc632a0060e14bc7e2d2146fddf9f6887c50760c
SHA512 00e48dbbae394aecaa5ed266102bfb8802f64a0bb43e3560f85818e881258137c0cd5af9d39fb301c541014e0c97d46acc58330ed801b53b6e1feedc6372cabf

Analysis: behavioral2

Detonation Overview

Submitted

2024-08-30 13:38

Reported

2024-08-30 13:40

Platform

win10v2004-20240802-en

Max time kernel

95s

Max time network

106s

Command Line

"C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe"

Signatures

System Location Discovery: System Language Discovery

discovery
Description Indicator Process Target
Key opened \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe N/A

Processes

C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe

"C:\Users\Admin\AppData\Local\Temp\c5c629149afc21a3b2f48884e76611d0N.exe"

Network

Country Destination Domain Proto
US 8.8.8.8:53 g.bing.com udp
US 150.171.28.10:443 g.bing.com tcp
US 8.8.8.8:53 133.211.185.52.in-addr.arpa udp
US 8.8.8.8:53 172.214.232.199.in-addr.arpa udp
US 8.8.8.8:53 133.32.126.40.in-addr.arpa udp
US 8.8.8.8:53 58.99.105.20.in-addr.arpa udp
US 8.8.8.8:53 209.205.72.20.in-addr.arpa udp
US 8.8.8.8:53 28.118.140.52.in-addr.arpa udp
US 8.8.8.8:53 183.59.114.20.in-addr.arpa udp
US 8.8.8.8:53 tse1.mm.bing.net udp
US 150.171.28.10:443 tse1.mm.bing.net tcp
US 150.171.28.10:443 tse1.mm.bing.net tcp
US 150.171.28.10:443 tse1.mm.bing.net tcp
US 150.171.28.10:443 tse1.mm.bing.net tcp
US 150.171.28.10:443 tse1.mm.bing.net tcp
US 8.8.8.8:53 198.187.3.20.in-addr.arpa udp
US 8.8.8.8:53 172.210.232.199.in-addr.arpa udp
US 8.8.8.8:53 21.236.111.52.in-addr.arpa udp

Files

memory/3968-0-0x0000000000940000-0x0000000000941000-memory.dmp

memory/3968-1-0x0000000000CD0000-0x0000000000DB4000-memory.dmp

memory/3968-2-0x0000000000940000-0x0000000000941000-memory.dmp