darkcomet | 9f2c1223bf1847e35f0e9c702518f7219e23e1460422e675da0c06f470481d8e

Analysis

max time kernel
86s
max time network
151s
platform
windows10-2004_x64
resource
win10v2004-20241007-en
resource tags

arch:x64arch:x86image:win10v2004-20241007-enlocale:en-usos:windows10-2004-x64system
submitted
19/10/2024, 18:27

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

5e08f13a37341ae48c3fde4d5437d24c_JaffaCakes118.exe
Size

2.9MB
MD5

5e08f13a37341ae48c3fde4d5437d24c
SHA1

84176b7235e0a7dce59535256dd1fa9328e1cafc
SHA256

9f2c1223bf1847e35f0e9c702518f7219e23e1460422e675da0c06f470481d8e
SHA512

551a4ef7dc9cf68d2aff22ba5d18afd123d3f9b3065a7f360fca73a613445b6373f44fd13ac940eb8747333a4a3921dd754efa33992b36113c2a9f3c0c31c8fe
SSDEEP

49152:zgEnoSE5fyZYJxiOEPyZYJxiOEr2eh0NN9ZmR/IO:zgEnoSE5b

Score

10^/10

darkcomet discovery persistence rat trojan

Malware Config

Signatures

Darkcomet
DarkComet is a remote access trojan (RAT) developed by Jean-Pierre Lesueur.
trojan rat darkcomet

Modifies WinLogon for persistence 2 TTPs 64 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe,C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe

Checks BIOS information in registry 2 TTPs 64 IoCs

BIOS information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winlogon.exe

Checks computer location settings 2 TTPs 64 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	5e08f13a37341ae48c3fde4d5437d24c_JaffaCakes118.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe
Key value queried	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\Control Panel\International\Geo\Nation	winlogon.exe

Executes dropped EXE 64 IoCs

pid	Process
2156	virus bueno.exe
1472	winlogon.exe
2768	winlogon.exe
1056	winlogon.exe
540	winlogon.exe
3576	winlogon.exe
996	winlogon.exe
5088	winlogon.exe
1492	winlogon.exe
1252	winlogon.exe
2144	winlogon.exe
1168	winlogon.exe
2280	winlogon.exe
4256	winlogon.exe
2388	winlogon.exe
5020	winlogon.exe
5104	winlogon.exe
432	winlogon.exe
4532	winlogon.exe
4012	winlogon.exe
4648	winlogon.exe
2688	winlogon.exe
3320	winlogon.exe
460	winlogon.exe
4256	winlogon.exe
4968	winlogon.exe
1668	winlogon.exe
4760	winlogon.exe
1440	winlogon.exe
1732	winlogon.exe
4880	winlogon.exe
1360	winlogon.exe
3940	winlogon.exe
3916	winlogon.exe
1472	winlogon.exe
1704	winlogon.exe
2312	winlogon.exe
4292	winlogon.exe
5044	winlogon.exe
5028	winlogon.exe
1316	winlogon.exe
2236	winlogon.exe
3516	winlogon.exe
4092	winlogon.exe
4780	winlogon.exe
3060	winlogon.exe
3856	winlogon.exe
2508	winlogon.exe
4256	winlogon.exe
1864	winlogon.exe
1444	winlogon.exe
3832	winlogon.exe
1828	winlogon.exe
832	winlogon.exe
4628	winlogon.exe
4252	winlogon.exe
4560	winlogon.exe
3984	winlogon.exe
4764	winlogon.exe
4952	winlogon.exe
2204	winlogon.exe
4828	winlogon.exe
4908	winlogon.exe
904	winlogon.exe

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	virus bueno.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-493223053-2004649691-1575712786-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon = "C:\\Windows\\system32\\Windupdt\\winlogon.exe"	winlogon.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	virus bueno.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	winlogon.exe
File created	C:\Windows\SysWOW64\Windupdt\winlogon.exe	winlogon.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	ping.exe

System Network Configuration Discovery: Internet Connection Discovery 1 TTPs 64 IoCs

Adversaries may check for Internet connectivity on compromised systems.

discovery

Internet Connection Discovery

T1016.001

pid	Process
3252	ping.exe
1908	ping.exe
4544	ping.exe
4916	ping.exe
3748	ping.exe
2948	ping.exe
432	ping.exe
1884	ping.exe
4840	ping.exe
3592	ping.exe
2596	ping.exe
2164	ping.exe
3244	ping.exe
3516	ping.exe
4772	ping.exe
2688	ping.exe
4628	Process not Found
3736	Process not Found
4372	ping.exe
3556	ping.exe
1560	ping.exe
2340	ping.exe
2444	ping.exe
388	ping.exe
4852	ping.exe
3736	ping.exe
2356	ping.exe
740	ping.exe
1544	ping.exe
1944	ping.exe
3020	ping.exe
1924	ping.exe
4372	ping.exe
4764	ping.exe
4988	ping.exe
5028	ping.exe
3948	ping.exe
1076	ping.exe
4840	ping.exe
3052	ping.exe
2200	Process not Found
712	ping.exe
4636	ping.exe
4528	ping.exe
4408	ping.exe
2488	Process not Found
2088	Process not Found
212	ping.exe
3948	ping.exe
3632	ping.exe
3776	ping.exe
1956	ping.exe
2388	ping.exe
2568	ping.exe
3512	Process not Found
392	ping.exe
2236	ping.exe
3760	ping.exe
1688	Process not Found
2452	ping.exe
4452	ping.exe
4548	ping.exe
2612	Process not Found
360	ping.exe

Checks processor information in registry 2 TTPs 64 IoCs

Processor information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winlogon.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winlogon.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winlogon.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winlogon.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winlogon.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winlogon.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winlogon.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winlogon.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winlogon.exe

Enumerates system info in registry 2 TTPs 64 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winlogon.exe

Modifies registry class 64 IoCs

description	ioc	Process
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	winlogon.exe

Runs ping.exe 1 TTPs 64 IoCs

Remote System Discovery

T1018

pid	Process
5056	ping.exe
4372	ping.exe
3628	ping.exe
1688	Process not Found
360	Process not Found
4704	Process not Found
1312	ping.exe
1616	ping.exe
4812	ping.exe
2064	ping.exe
2548	ping.exe
4248	ping.exe
3632	ping.exe
4596	ping.exe
2584	ping.exe
1408	Process not Found
4532	Process not Found
3776	ping.exe
2452	ping.exe
3576	ping.exe
5052	ping.exe
4628	ping.exe
4072	ping.exe
4684	Process not Found
1076	ping.exe
3772	ping.exe
3736	ping.exe
3632	ping.exe
2732	ping.exe
3252	ping.exe
944	ping.exe
3244	ping.exe
4772	ping.exe
3476	ping.exe
1956	ping.exe
2732	ping.exe
3512	ping.exe
388	ping.exe
4692	ping.exe
2612	ping.exe
1908	ping.exe
2432	ping.exe
1312	Process not Found
3948	ping.exe
2352	ping.exe
2388	ping.exe
4840	ping.exe
3680	ping.exe
2340	ping.exe
1768	ping.exe
2444	ping.exe
2320	ping.exe
1056	ping.exe
1260	ping.exe
4640	ping.exe
4428	ping.exe
5052	ping.exe
748	ping.exe
1060	ping.exe
2320	ping.exe
3184	ping.exe
4920	ping.exe
1628	ping.exe
1448	ping.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeDebugPrivilege	972	5e08f13a37341ae48c3fde4d5437d24c_JaffaCakes118.exe
Token: SeIncreaseQuotaPrivilege	2156	virus bueno.exe
Token: SeSecurityPrivilege	2156	virus bueno.exe
Token: SeTakeOwnershipPrivilege	2156	virus bueno.exe
Token: SeLoadDriverPrivilege	2156	virus bueno.exe
Token: SeSystemProfilePrivilege	2156	virus bueno.exe
Token: SeSystemtimePrivilege	2156	virus bueno.exe
Token: SeProfSingleProcessPrivilege	2156	virus bueno.exe
Token: SeIncBasePriorityPrivilege	2156	virus bueno.exe
Token: SeCreatePagefilePrivilege	2156	virus bueno.exe
Token: SeBackupPrivilege	2156	virus bueno.exe
Token: SeRestorePrivilege	2156	virus bueno.exe
Token: SeShutdownPrivilege	2156	virus bueno.exe
Token: SeDebugPrivilege	2156	virus bueno.exe
Token: SeSystemEnvironmentPrivilege	2156	virus bueno.exe
Token: SeChangeNotifyPrivilege	2156	virus bueno.exe
Token: SeRemoteShutdownPrivilege	2156	virus bueno.exe
Token: SeUndockPrivilege	2156	virus bueno.exe
Token: SeManageVolumePrivilege	2156	virus bueno.exe
Token: SeImpersonatePrivilege	2156	virus bueno.exe
Token: SeCreateGlobalPrivilege	2156	virus bueno.exe
Token: 33	2156	virus bueno.exe
Token: 34	2156	virus bueno.exe
Token: 35	2156	virus bueno.exe
Token: 36	2156	virus bueno.exe
Token: SeIncreaseQuotaPrivilege	1472	winlogon.exe
Token: SeSecurityPrivilege	1472	winlogon.exe
Token: SeTakeOwnershipPrivilege	1472	winlogon.exe
Token: SeLoadDriverPrivilege	1472	winlogon.exe
Token: SeSystemProfilePrivilege	1472	winlogon.exe
Token: SeSystemtimePrivilege	1472	winlogon.exe
Token: SeProfSingleProcessPrivilege	1472	winlogon.exe
Token: SeIncBasePriorityPrivilege	1472	winlogon.exe
Token: SeCreatePagefilePrivilege	1472	winlogon.exe
Token: SeBackupPrivilege	1472	winlogon.exe
Token: SeRestorePrivilege	1472	winlogon.exe
Token: SeShutdownPrivilege	1472	winlogon.exe
Token: SeDebugPrivilege	1472	winlogon.exe
Token: SeSystemEnvironmentPrivilege	1472	winlogon.exe
Token: SeChangeNotifyPrivilege	1472	winlogon.exe
Token: SeRemoteShutdownPrivilege	1472	winlogon.exe
Token: SeUndockPrivilege	1472	winlogon.exe
Token: SeManageVolumePrivilege	1472	winlogon.exe
Token: SeImpersonatePrivilege	1472	winlogon.exe
Token: SeCreateGlobalPrivilege	1472	winlogon.exe
Token: 33	1472	winlogon.exe
Token: 34	1472	winlogon.exe
Token: 35	1472	winlogon.exe
Token: 36	1472	winlogon.exe
Token: SeIncreaseQuotaPrivilege	2768	winlogon.exe
Token: SeSecurityPrivilege	2768	winlogon.exe
Token: SeTakeOwnershipPrivilege	2768	winlogon.exe
Token: SeLoadDriverPrivilege	2768	winlogon.exe
Token: SeSystemProfilePrivilege	2768	winlogon.exe
Token: SeSystemtimePrivilege	2768	winlogon.exe
Token: SeProfSingleProcessPrivilege	2768	winlogon.exe
Token: SeIncBasePriorityPrivilege	2768	winlogon.exe
Token: SeCreatePagefilePrivilege	2768	winlogon.exe
Token: SeBackupPrivilege	2768	winlogon.exe
Token: SeRestorePrivilege	2768	winlogon.exe
Token: SeShutdownPrivilege	2768	winlogon.exe
Token: SeDebugPrivilege	2768	winlogon.exe
Token: SeSystemEnvironmentPrivilege	2768	winlogon.exe
Token: SeChangeNotifyPrivilege	2768	winlogon.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 972 wrote to memory of 2156	972	5e08f13a37341ae48c3fde4d5437d24c_JaffaCakes118.exe	84
PID 972 wrote to memory of 2156	972	5e08f13a37341ae48c3fde4d5437d24c_JaffaCakes118.exe	84
PID 972 wrote to memory of 2156	972	5e08f13a37341ae48c3fde4d5437d24c_JaffaCakes118.exe	84
PID 2156 wrote to memory of 2264	2156	virus bueno.exe	85
PID 2156 wrote to memory of 2264	2156	virus bueno.exe	85
PID 2156 wrote to memory of 2264	2156	virus bueno.exe	85
PID 2156 wrote to memory of 1472	2156	virus bueno.exe	89
PID 2156 wrote to memory of 1472	2156	virus bueno.exe	89
PID 2156 wrote to memory of 1472	2156	virus bueno.exe	89
PID 2156 wrote to memory of 1216	2156	virus bueno.exe	90
PID 2156 wrote to memory of 1216	2156	virus bueno.exe	90
PID 2156 wrote to memory of 1216	2156	virus bueno.exe	90
PID 1472 wrote to memory of 712	1472	winlogon.exe	92
PID 1472 wrote to memory of 712	1472	winlogon.exe	92
PID 1472 wrote to memory of 712	1472	winlogon.exe	92
PID 1472 wrote to memory of 2768	1472	winlogon.exe	93
PID 1472 wrote to memory of 2768	1472	winlogon.exe	93
PID 1472 wrote to memory of 2768	1472	winlogon.exe	93
PID 1472 wrote to memory of 4804	1472	winlogon.exe	94
PID 1472 wrote to memory of 4804	1472	winlogon.exe	94
PID 1472 wrote to memory of 4804	1472	winlogon.exe	94
PID 2768 wrote to memory of 2284	2768	winlogon.exe	96
PID 2768 wrote to memory of 2284	2768	winlogon.exe	96
PID 2768 wrote to memory of 2284	2768	winlogon.exe	96
PID 2768 wrote to memory of 1056	2768	winlogon.exe	97
PID 2768 wrote to memory of 1056	2768	winlogon.exe	97
PID 2768 wrote to memory of 1056	2768	winlogon.exe	97
PID 2768 wrote to memory of 1532	2768	winlogon.exe	98
PID 2768 wrote to memory of 1532	2768	winlogon.exe	98
PID 2768 wrote to memory of 1532	2768	winlogon.exe	98
PID 1056 wrote to memory of 3264	1056	winlogon.exe	100
PID 1056 wrote to memory of 3264	1056	winlogon.exe	100
PID 1056 wrote to memory of 3264	1056	winlogon.exe	100
PID 1056 wrote to memory of 540	1056	winlogon.exe	101
PID 1056 wrote to memory of 540	1056	winlogon.exe	101
PID 1056 wrote to memory of 540	1056	winlogon.exe	101
PID 1056 wrote to memory of 2720	1056	winlogon.exe	102
PID 1056 wrote to memory of 2720	1056	winlogon.exe	102
PID 1056 wrote to memory of 2720	1056	winlogon.exe	102
PID 540 wrote to memory of 880	540	winlogon.exe	104
PID 540 wrote to memory of 880	540	winlogon.exe	104
PID 540 wrote to memory of 880	540	winlogon.exe	104
PID 540 wrote to memory of 3576	540	winlogon.exe	107
PID 540 wrote to memory of 3576	540	winlogon.exe	107
PID 540 wrote to memory of 3576	540	winlogon.exe	107
PID 540 wrote to memory of 3604	540	winlogon.exe	108
PID 540 wrote to memory of 3604	540	winlogon.exe	108
PID 540 wrote to memory of 3604	540	winlogon.exe	108
PID 3576 wrote to memory of 5104	3576	winlogon.exe	110
PID 3576 wrote to memory of 5104	3576	winlogon.exe	110
PID 3576 wrote to memory of 5104	3576	winlogon.exe	110
PID 3576 wrote to memory of 996	3576	winlogon.exe	111
PID 3576 wrote to memory of 996	3576	winlogon.exe	111
PID 3576 wrote to memory of 996	3576	winlogon.exe	111
PID 3576 wrote to memory of 5028	3576	winlogon.exe	112
PID 3576 wrote to memory of 5028	3576	winlogon.exe	112
PID 3576 wrote to memory of 5028	3576	winlogon.exe	112
PID 996 wrote to memory of 4492	996	winlogon.exe	114
PID 996 wrote to memory of 4492	996	winlogon.exe	114
PID 996 wrote to memory of 4492	996	winlogon.exe	114
PID 996 wrote to memory of 5088	996	winlogon.exe	115
PID 996 wrote to memory of 5088	996	winlogon.exe	115
PID 996 wrote to memory of 5088	996	winlogon.exe	115
PID 996 wrote to memory of 684	996	winlogon.exe	116

C:\Users\Admin\AppData\Local\Temp\5e08f13a37341ae48c3fde4d5437d24c_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\5e08f13a37341ae48c3fde4d5437d24c_JaffaCakes118.exe"
1⤵
- Checks computer location settings
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:972
- C:\Users\Admin\AppData\Roaming\jyizznXbIjSoJnpZJFAay\jyizznXbIjSoJnpZJFAay\1.4.4.0\virus bueno.exe
  "C:\Users\Admin\AppData\Roaming\jyizznXbIjSoJnpZJFAay\jyizznXbIjSoJnpZJFAay\1.4.4.0\virus bueno.exe" /default parameters
  2⤵
  - Executes dropped EXE
  - Adds Run key to start application
  - Drops file in System32 directory
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:2156
- - C:\Windows\SysWOW64\explorer.exe
    "C:\Windows\SysWOW64\explorer.exe"
    3⤵
    PID:2264
- - C:\Windows\SysWOW64\Windupdt\winlogon.exe
    "C:\Windows\system32\Windupdt\winlogon.exe"
    3⤵
    - Executes dropped EXE
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:1472
  - - C:\Windows\SysWOW64\explorer.exe
      "C:\Windows\SysWOW64\explorer.exe"
      4⤵
      PID:712
  - - C:\Windows\SysWOW64\Windupdt\winlogon.exe
      "C:\Windows\system32\Windupdt\winlogon.exe"
      4⤵
      Checks BIOS information in registry
      Checks computer location settings
      Executes dropped EXE
      System Location Discovery: System Language Discovery
      Enumerates system info in registry
      Modifies registry class
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:2768
    - - C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        5⤵
        
        PID:2284
    - - C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        5⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of WriteProcessMemory
        
        PID:1056
      - C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        6⤵
        
        PID:3264
      - C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        6⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:540
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        7⤵
        
        PID:880
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        7⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:3576
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        8⤵
        
        PID:5104
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        8⤵
        Executes dropped EXE
        Drops file in System32 directory
        Checks processor information in registry
        Suspicious use of WriteProcessMemory
        
        PID:996
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        9⤵
        
        PID:4492
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        9⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:5088
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        10⤵
        
        PID:3092
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        10⤵
        Executes dropped EXE
        Enumerates system info in registry
        Modifies registry class
        
        PID:1492
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        11⤵
        
        PID:748
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        11⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        Modifies registry class
        
        PID:1252
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        12⤵
        
        PID:3516
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        12⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:2144
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        13⤵
        
        PID:1780
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        13⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1168
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        14⤵
        
        PID:3168
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        14⤵
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Modifies registry class
        
        PID:2280
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        15⤵
        
        PID:3100
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        15⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:4256
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        16⤵
        
        PID:116
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        16⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:2388
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        17⤵
        
        PID:2720
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        17⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:5020
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        18⤵
        
        PID:1072
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        18⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        
        PID:5104
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        19⤵
        
        PID:4956
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        19⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:432
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        20⤵
        
        PID:3712
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        20⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        
        PID:4532
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        21⤵
        
        PID:372
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        21⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:4012
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        22⤵
        
        PID:4252
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        22⤵
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:4648
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        23⤵
        
        PID:4836
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        23⤵
        Executes dropped EXE
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2688
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        24⤵
        
        PID:2080
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        24⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        Modifies registry class
        
        PID:3320
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        25⤵
        
        PID:1472
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        25⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        Modifies registry class
        
        PID:460
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        26⤵
        
        PID:2072
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        26⤵
        Executes dropped EXE
        Enumerates system info in registry
        
        PID:4256
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        27⤵
        
        PID:2524
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        27⤵
        Checks computer location settings
        Executes dropped EXE
        Enumerates system info in registry
        
        PID:4968
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        28⤵
        
        PID:2452
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        28⤵
        Executes dropped EXE
        
        PID:1668
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        29⤵
        
        PID:4464
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        29⤵
        Checks computer location settings
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:4760
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        30⤵
        
        PID:5056
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        30⤵
        Executes dropped EXE
        Drops file in System32 directory
        Modifies registry class
        
        PID:1440
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        31⤵
        
        PID:2600
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        31⤵
        Checks computer location settings
        Executes dropped EXE
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:1732
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        32⤵
        
        PID:2408
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        32⤵
        Executes dropped EXE
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:4880
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        33⤵
        
        PID:4216
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        33⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Enumerates system info in registry
        Modifies registry class
        
        PID:1360
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        34⤵
        
        PID:3512
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        34⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:3940
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        35⤵
        
        PID:4528
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        35⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Enumerates system info in registry
        
        PID:3916
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        36⤵
        
        PID:2768
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        36⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Enumerates system info in registry
        
        PID:1472
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        37⤵
        
        PID:4864
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        37⤵
        Checks BIOS information in registry
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Modifies registry class
        
        PID:1704
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        38⤵
        
        PID:1152
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        38⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Enumerates system info in registry
        
        PID:2312
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        39⤵
        
        PID:4040
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        39⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:4292
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        40⤵
        
        PID:4832
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        40⤵
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Enumerates system info in registry
        Modifies registry class
        
        PID:5044
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        41⤵
        
        PID:4268
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        41⤵
        Executes dropped EXE
        Checks processor information in registry
        Modifies registry class
        
        PID:5028
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        42⤵
        
        PID:3624
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        42⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1316
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        43⤵
        
        PID:2788
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        43⤵
        Checks computer location settings
        Executes dropped EXE
        Checks processor information in registry
        
        PID:2236
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        44⤵
        
        PID:4328
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        44⤵
        Executes dropped EXE
        
        PID:3516
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        45⤵
        
        PID:4216
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        45⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:4092
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        46⤵
        
        PID:1436
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        46⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Enumerates system info in registry
        Modifies registry class
        
        PID:4780
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        47⤵
        
        PID:716
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        47⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:3060
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        48⤵
        
        PID:4852
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        48⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        
        PID:3856
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        49⤵
        
        PID:3320
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        49⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Modifies registry class
        
        PID:2508
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        50⤵
        
        PID:3948
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        50⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Enumerates system info in registry
        Modifies registry class
        
        PID:4256
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        51⤵
        
        PID:1408
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        51⤵
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Enumerates system info in registry
        Modifies registry class
        
        PID:1864
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        52⤵
        
        PID:3264
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        52⤵
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Modifies registry class
        
        PID:1444
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        53⤵
        
        PID:1016
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        53⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:3832
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        54⤵
        
        PID:4772
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        54⤵
        Checks BIOS information in registry
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:1828
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        55⤵
        
        PID:1664
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        55⤵
        Executes dropped EXE
        Checks processor information in registry
        
        PID:832
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        56⤵
        
        PID:208
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        56⤵
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Enumerates system info in registry
        Modifies registry class
        
        PID:4628
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        57⤵
        
        PID:4388
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        57⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:4252
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        58⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        58⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Modifies registry class
        
        PID:4560
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        59⤵
        
        PID:4468
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        59⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:3984
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        60⤵
        
        PID:3940
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        60⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Modifies registry class
        
        PID:4764
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        61⤵
        
        PID:3060
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        61⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:4952
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        62⤵
        
        PID:3408
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        62⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:2204
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        63⤵
        
        PID:4072
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        63⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:4828
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        64⤵
        
        PID:4256
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        64⤵
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:4908
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        65⤵
        
        PID:4120
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        65⤵
        Executes dropped EXE
        Drops file in System32 directory
        Checks processor information in registry
        Modifies registry class
        
        PID:904
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        66⤵
        
        PID:5088
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        66⤵
        Checks BIOS information in registry
        Enumerates system info in registry
        
        PID:2712
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        67⤵
        
        PID:3624
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        67⤵
        Modifies WinLogon for persistence
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:2788
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        68⤵
        
        PID:1252
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        68⤵
        Checks BIOS information in registry
        Checks computer location settings
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:4840
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        69⤵
        
        PID:2432
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        69⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Modifies registry class
        
        PID:3772
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        70⤵
        
        PID:4252
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        70⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:4880
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        71⤵
        
        PID:4528
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        71⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        
        PID:3940
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        72⤵
        
        PID:1472
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        72⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:4208
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        73⤵
        
        PID:1704
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        73⤵
        Checks computer location settings
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:3320
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        74⤵
        
        PID:3736
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        74⤵
        Checks BIOS information in registry
        Checks computer location settings
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:1552
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        75⤵
        
        PID:3404
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        75⤵
        Modifies WinLogon for persistence
        Checks processor information in registry
        Modifies registry class
        
        PID:736
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        76⤵
        
        PID:1072
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        76⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:4988
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        77⤵
        
        PID:4888
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        77⤵
        Adds Run key to start application
        
        PID:3668
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        78⤵
        
        PID:836
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        78⤵
        Checks computer location settings
        
        PID:4372
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        79⤵
        
        PID:2160
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        79⤵
        Checks processor information in registry
        
        PID:2408
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        80⤵
        
        PID:1896
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        80⤵
        Checks BIOS information in registry
        
        PID:3252
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        81⤵
        
        PID:1360
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        81⤵
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:4692
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        82⤵
        
        PID:3832
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        82⤵
        
        PID:716
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        83⤵
        
        PID:4852
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        83⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:2872
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        84⤵
        
        PID:3940
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        84⤵
        Modifies WinLogon for persistence
        
        PID:5100
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        85⤵
        
        PID:2340
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        85⤵
        Checks computer location settings
        Enumerates system info in registry
        
        PID:4004
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        86⤵
        
        PID:1620
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        86⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Enumerates system info in registry
        
        PID:3212
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        87⤵
        
        PID:1768
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        87⤵
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1692
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        88⤵
        
        PID:1668
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        88⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:5020
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        89⤵
        
        PID:1016
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        89⤵
        Checks BIOS information in registry
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2276
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        90⤵
        
        PID:1828
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        90⤵
        Checks BIOS information in registry
        Enumerates system info in registry
        
        PID:1640
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        91⤵
        
        PID:1252
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        91⤵
        Checks BIOS information in registry
        
        PID:4284
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        92⤵
        
        PID:4012
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        92⤵
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:1876
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        93⤵
        
        PID:2284
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        93⤵
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:800
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        94⤵
        
        PID:4560
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        94⤵
        Checks computer location settings
        Adds Run key to start application
        Checks processor information in registry
        
        PID:1600
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        95⤵
        
        PID:1628
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        95⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        Checks processor information in registry
        Modifies registry class
        
        PID:2072
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        96⤵
        
        PID:2032
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        96⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:2340
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        97⤵
        
        PID:460
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        97⤵
        Checks BIOS information in registry
        
        PID:1028
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        98⤵
        
        PID:1744
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        98⤵
        
        PID:4828
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        99⤵
        
        PID:4832
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        99⤵
        Modifies WinLogon for persistence
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:4772
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        100⤵
        
        PID:5028
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        100⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:4988
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        101⤵
        
        PID:4700
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        101⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:3680
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        102⤵
        
        PID:3092
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        102⤵
        
        PID:3476
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        103⤵
        
        PID:4388
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        103⤵
        Modifies WinLogon for persistence
        Modifies registry class
        
        PID:1124
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        104⤵
        
        PID:2264
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        104⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Drops file in System32 directory
        
        PID:944
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        105⤵
        
        PID:2972
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        105⤵
        Checks computer location settings
        Adds Run key to start application
        Checks processor information in registry
        
        PID:388
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        106⤵
        
        PID:3588
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        106⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:3560
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        107⤵
        
        PID:1924
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        107⤵
        
        PID:4764
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        108⤵
        
        PID:1704
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        108⤵
        Checks BIOS information in registry
        Adds Run key to start application
        
        PID:4072
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        109⤵
        
        PID:3508
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        109⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:4020
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        110⤵
        
        PID:3380
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        110⤵
        Checks BIOS information in registry
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:736
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        111⤵
        
        PID:1072
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        111⤵
        Adds Run key to start application
        Checks processor information in registry
        Modifies registry class
        
        PID:3748
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        112⤵
        
        PID:4908
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        112⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        
        PID:1828
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        113⤵
        
        PID:904
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        113⤵
        Modifies WinLogon for persistence
        System Location Discovery: System Language Discovery
        
        PID:4584
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        114⤵
        
        PID:3676
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        114⤵
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:1396
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        115⤵
        
        PID:3744
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        115⤵
        Modifies WinLogon for persistence
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:4468
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        116⤵
        
        PID:4012
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        116⤵
        Modifies WinLogon for persistence
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:4968
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        117⤵
        
        PID:3604
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        117⤵
        Drops file in System32 directory
        Modifies registry class
        
        PID:3892
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        118⤵
        
        PID:4360
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        118⤵
        Checks computer location settings
        Checks processor information in registry
        
        PID:1428
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        119⤵
        
        PID:2844
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        119⤵
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:3940
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        120⤵
        
        PID:996
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        120⤵
        Adds Run key to start application
        
        PID:2032
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        121⤵
        
        PID:948
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        121⤵
        Checks BIOS information in registry
        Checks computer location settings
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:740
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        122⤵
        
        PID:4072
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        122⤵
        Drops file in System32 directory
        
        PID:4756
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        123⤵
        
        PID:4020
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        123⤵
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:4656
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        124⤵
        
        PID:4316
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        124⤵
        Checks processor information in registry
        
        PID:1664
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        125⤵
        
        PID:2320
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        125⤵
        Modifies registry class
        
        PID:4292
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        126⤵
        
        PID:2600
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        126⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:2248
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        127⤵
        
        PID:4584
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        127⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Checks processor information in registry
        Modifies registry class
        
        PID:2596
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        128⤵
        
        PID:1396
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        128⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Checks processor information in registry
        
        PID:4092
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        129⤵
        
        PID:2144
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        129⤵
        Drops file in System32 directory
        Modifies registry class
        
        PID:1980
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        130⤵
        
        PID:4212
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        130⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        
        PID:800
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        131⤵
        
        PID:2164
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        131⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:716
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        132⤵
        
        PID:1428
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        132⤵
        Checks BIOS information in registry
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:4608
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        133⤵
        
        PID:2820
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        133⤵
        System Location Discovery: System Language Discovery
        
        PID:3948
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        134⤵
        
        PID:2032
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        134⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:360
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        135⤵
        
        PID:3692
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        135⤵
        Checks BIOS information in registry
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:4888
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        136⤵
        
        PID:3116
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        136⤵
        Modifies WinLogon for persistence
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:5088
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        137⤵
        
        PID:4428
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        137⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:4700
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        138⤵
        
        PID:3216
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        138⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1512
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        139⤵
        
        PID:3768
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        139⤵
        Checks processor information in registry
        
        PID:1320
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        140⤵
        
        PID:2112
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        140⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        
        PID:3512
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        141⤵
        
        PID:4932
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        141⤵
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:5052
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        142⤵
        
        PID:4092
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        142⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Adds Run key to start application
        Checks processor information in registry
        
        PID:2412
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        143⤵
        
        PID:1188
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        143⤵
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:2324
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        144⤵
        
        PID:64
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        144⤵
        Checks BIOS information in registry
        Drops file in System32 directory
        Enumerates system info in registry
        Modifies registry class
        
        PID:2508
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        145⤵
        
        PID:4492
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        145⤵
        Enumerates system info in registry
        Modifies registry class
        
        PID:224
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        146⤵
        
        PID:1408
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        146⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Enumerates system info in registry
        
        PID:2340
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        147⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        147⤵
        Checks BIOS information in registry
        Adds Run key to start application
        
        PID:460
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        148⤵
        
        PID:1736
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        148⤵
        Enumerates system info in registry
        
        PID:3668
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        149⤵
        
        PID:1688
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        149⤵
        Drops file in System32 directory
        Modifies registry class
        
        PID:1768
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        150⤵
        
        PID:3748
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        150⤵
        Checks computer location settings
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:4204
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        151⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        151⤵
        Checks computer location settings
        System Location Discovery: System Language Discovery
        
        PID:4924
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        152⤵
        
        PID:1512
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        152⤵
        Checks BIOS information in registry
        Checks computer location settings
        Adds Run key to start application
        Checks processor information in registry
        
        PID:1640
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        153⤵
        
        PID:1396
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        153⤵
        Checks processor information in registry
        
        PID:3876
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        154⤵
        
        PID:3760
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        154⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:2768
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        155⤵
        
        PID:4848
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        155⤵
        Checks computer location settings
        
        PID:3344
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        156⤵
        
        PID:4968
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        156⤵
        Checks computer location settings
        Modifies registry class
        
        PID:800
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        157⤵
        
        PID:1428
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        157⤵
        Checks computer location settings
        Drops file in System32 directory
        
        PID:716
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        158⤵
        
        PID:4652
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        158⤵
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:2872
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        159⤵
        
        PID:1056
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        159⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:5100
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        160⤵
        
        PID:740
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        160⤵
        Modifies WinLogon for persistence
        Modifies registry class
        
        PID:4868
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        161⤵
        
        PID:3388
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        161⤵
        Checks BIOS information in registry
        Checks computer location settings
        Drops file in System32 directory
        Enumerates system info in registry
        Modifies registry class
        
        PID:4832
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        162⤵
        
        PID:3640
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        162⤵
        Checks computer location settings
        Adds Run key to start application
        Checks processor information in registry
        
        PID:4612
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        163⤵
        
        PID:3464
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        163⤵
        Checks computer location settings
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:904
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        164⤵
        
        PID:4292
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        164⤵
        Checks BIOS information in registry
        Drops file in System32 directory
        
        PID:212
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        165⤵
        
        PID:4280
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        165⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Modifies registry class
        
        PID:4408
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        166⤵
        
        PID:4284
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        166⤵
        Drops file in System32 directory
        Modifies registry class
        
        PID:436
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        167⤵
        
        PID:2284
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        167⤵
        Checks BIOS information in registry
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:4140
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        168⤵
        
        PID:3628
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        168⤵
        Drops file in System32 directory
        
        PID:4968
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        169⤵
        
        PID:2844
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        169⤵
        Modifies WinLogon for persistence
        
        PID:2412
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        170⤵
        
        PID:944
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        170⤵
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:4768
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        171⤵
        
        PID:1408
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        171⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1956
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        172⤵
        
        PID:2872
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        172⤵
        Modifies registry class
        
        PID:4676
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        173⤵
        
        PID:1744
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        173⤵
        Checks BIOS information in registry
        
        PID:2948
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        174⤵
        
        PID:5104
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        174⤵
        Drops file in System32 directory
        
        PID:1844
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        175⤵
        
        PID:4312
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        175⤵
        Checks BIOS information in registry
        Checks processor information in registry
        
        PID:452
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        176⤵
        
        PID:5020
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        176⤵
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:4204
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        177⤵
        
        PID:3752
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        177⤵
        Checks BIOS information in registry
        Checks computer location settings
        Adds Run key to start application
        Checks processor information in registry
        
        PID:2608
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        178⤵
        
        PID:992
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        178⤵
        Checks BIOS information in registry
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:1396
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        179⤵
        
        PID:2944
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        179⤵
        Checks computer location settings
        Checks processor information in registry
        
        PID:3448
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        180⤵
        
        PID:2080
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        180⤵
        Checks processor information in registry
        Modifies registry class
        
        PID:1944
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        181⤵
        
        PID:3584
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        181⤵
        Adds Run key to start application
        Checks processor information in registry
        
        PID:684
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        182⤵
        
        PID:1652
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        182⤵
        Enumerates system info in registry
        
        PID:4848
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        183⤵
        
        PID:1600
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        183⤵
        Checks BIOS information in registry
        Checks computer location settings
        
        PID:4692
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        184⤵
        
        PID:4644
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        184⤵
        Adds Run key to start application
        
        PID:880
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        185⤵
        
        PID:1924
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        185⤵
        Checks BIOS information in registry
        Checks computer location settings
        Checks processor information in registry
        
        PID:716
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        186⤵
        
        PID:4088
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        186⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Enumerates system info in registry
        
        PID:1184
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        187⤵
        
        PID:3380
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        187⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:3404
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        188⤵
        
        PID:1008
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        188⤵
        Checks BIOS information in registry
        Checks computer location settings
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:3156
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        189⤵
        
        PID:432
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        189⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Modifies registry class
        
        PID:3928
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        190⤵
        
        PID:4988
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        190⤵
        
        PID:3540
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        191⤵
        
        PID:4532
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        191⤵
        Checks computer location settings
        Drops file in System32 directory
        
        PID:4972
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        192⤵
        
        PID:3768
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        192⤵
        Modifies registry class
        
        PID:4840
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        193⤵
        
        PID:1588
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        193⤵
        Checks BIOS information in registry
        Modifies registry class
        
        PID:3512
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        194⤵
        
        PID:3280
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        194⤵
        Adds Run key to start application
        
        PID:3876
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        195⤵
        
        PID:4224
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        195⤵
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Modifies registry class
        
        PID:4452
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        196⤵
        
        PID:972
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        196⤵
        Checks computer location settings
        Drops file in System32 directory
        Modifies registry class
        
        PID:4020
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        197⤵
        
        PID:804
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        197⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        Modifies registry class
        
        PID:2028
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        198⤵
        
        PID:2164
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        198⤵
        Adds Run key to start application
        
        PID:4548
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        199⤵
        
        PID:3560
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        199⤵
        
        PID:2820
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        200⤵
        
        PID:2324
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        200⤵
        Checks BIOS information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:1312
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        201⤵
        
        PID:1476
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        201⤵
        Adds Run key to start application
        Checks processor information in registry
        Modifies registry class
        
        PID:2720
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        202⤵
        
        PID:740
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        202⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Drops file in System32 directory
        Checks processor information in registry
        Modifies registry class
        
        PID:2016
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        203⤵
        
        PID:4868
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        203⤵
        
        PID:3404
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        204⤵
        
        PID:1616
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        204⤵
        
        PID:3156
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        205⤵
        
        PID:2528
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        205⤵
        
        PID:3928
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        206⤵
        
        PID:1492
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        206⤵
        
        PID:1012
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        207⤵
        
        PID:4628
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        207⤵
        
        PID:1260
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        208⤵
        
        PID:3744
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        208⤵
        
        PID:3068
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        209⤵
        
        PID:3760
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        209⤵
        
        PID:2384
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        210⤵
        
        PID:4012
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        210⤵
        
        PID:2408
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        211⤵
        
        PID:1796
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        211⤵
        
        PID:1688
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        212⤵
        
        PID:3344
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        212⤵
        
        PID:4020
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        213⤵
        
        PID:1600
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        213⤵
        
        PID:2028
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        214⤵
        
        PID:4496
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        214⤵
        
        PID:4648
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        215⤵
        
        PID:4788
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        215⤵
        
        PID:4660
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        216⤵
        
        PID:3284
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        216⤵
        
        PID:4756
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        217⤵
        
        PID:4792
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        217⤵
        
        PID:4908
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        218⤵
        
        PID:1184
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        218⤵
        
        PID:1928
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        219⤵
        
        PID:2708
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        219⤵
        
        PID:4636
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        220⤵
        
        PID:2528
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        220⤵
        
        PID:4220
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        221⤵
        
        PID:2600
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        221⤵
        
        PID:3784
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        222⤵
        
        PID:3300
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        222⤵
        
        PID:2432
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        223⤵
        
        PID:4680
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        223⤵
        
        PID:4268
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        224⤵
        
        PID:4840
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        224⤵
        
        PID:4824
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        225⤵
        
        PID:2064
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        225⤵
        
        PID:2568
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        226⤵
        
        PID:2332
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        226⤵
        
        PID:1652
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        227⤵
        
        PID:712
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        227⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        228⤵
        
        PID:736
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        228⤵
        
        PID:392
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        229⤵
        
        PID:2680
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        229⤵
        
        PID:944
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        230⤵
        
        PID:4608
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        230⤵
        
        PID:540
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        231⤵
        
        PID:1704
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        231⤵
        
        PID:3696
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        232⤵
        
        PID:1552
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        232⤵
        
        PID:3692
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        233⤵
        
        PID:1908
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        233⤵
        
        PID:1240
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        234⤵
        
        PID:3116
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        234⤵
        
        PID:1928
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        235⤵
        
        PID:1872
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        235⤵
        
        PID:3388
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        236⤵
        
        PID:4372
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        236⤵
        
        PID:3752
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        237⤵
        
        PID:5108
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        237⤵
        
        PID:1884
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        238⤵
        
        PID:208
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        238⤵
        
        PID:4092
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        239⤵
        
        PID:2688
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        239⤵
        
        PID:4224
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        240⤵
        
        PID:4592
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        240⤵
        
        PID:1776
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        241⤵
        
        PID:684
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        241⤵
        
        PID:2488
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        242⤵
        
        PID:712
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        242⤵
        
        PID:4852
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        243⤵
        
        PID:4892
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        243⤵
        
        PID:2508
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        244⤵
        
        PID:3904
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        244⤵
        
        PID:1152
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        245⤵
        
        PID:224
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        245⤵
        
        PID:1604
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        246⤵
        
        PID:1552
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        246⤵
        
        PID:4392
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        247⤵
        
        PID:1184
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        247⤵
        
        PID:5088
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        248⤵
        
        PID:3352
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        248⤵
        
        PID:1844
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        249⤵
        
        PID:1284
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        249⤵
        
        PID:3768
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        250⤵
        
        PID:3264
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        250⤵
        
        PID:3184
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        251⤵
        
        PID:1588
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        251⤵
        
        PID:4280
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        252⤵
        
        PID:2808
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        252⤵
        
        PID:1396
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        253⤵
        
        PID:4468
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        253⤵
        
        PID:2384
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        254⤵
        
        PID:5044
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        254⤵
        
        PID:1628
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        255⤵
        
        PID:3020
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        255⤵
        
        PID:4052
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        256⤵
        
        PID:4812
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        256⤵
        
        PID:4356
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        257⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        257⤵
        
        PID:1008
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        258⤵
        
        PID:2288
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        258⤵
        
        PID:1444
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        259⤵
        
        PID:4760
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        259⤵
        
        PID:2200
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        260⤵
        
        PID:1692
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        260⤵
        
        PID:1012
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        261⤵
        
        PID:4584
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        261⤵
        
        PID:372
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        262⤵
        
        PID:4336
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        262⤵
        
        PID:4904
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        263⤵
        
        PID:4248
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        263⤵
        
        PID:2144
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        264⤵
        
        PID:4840
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        264⤵
        
        PID:2812
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        265⤵
        
        PID:2768
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        265⤵
        
        PID:3832
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        266⤵
        
        PID:1608
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        266⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        267⤵
        
        PID:2648
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        267⤵
        
        PID:2568
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        268⤵
        
        PID:3200
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        268⤵
        
        PID:3096
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        269⤵
        
        PID:3204
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        269⤵
        
        PID:4804
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        270⤵
        
        PID:5104
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        270⤵
        
        PID:1700
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        271⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        271⤵
        
        PID:1872
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        272⤵
        
        PID:5040
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        272⤵
        
        PID:3388
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        273⤵
        
        PID:4292
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        273⤵
        
        PID:4424
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        274⤵
        
        PID:1780
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        274⤵
        
        PID:208
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        275⤵
        
        PID:3068
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        275⤵
        
        PID:1560
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        276⤵
        
        PID:4220
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        276⤵
        
        PID:2088
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        277⤵
        
        PID:1776
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        277⤵
        
        PID:4880
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        278⤵
        
        PID:4492
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        278⤵
        
        PID:5092
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        279⤵
        
        PID:2648
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        279⤵
        
        PID:4140
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        280⤵
        
        PID:2596
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        280⤵
        
        PID:4328
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        281⤵
        
        PID:2408
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        281⤵
        
        PID:224
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        282⤵
        
        PID:4676
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        282⤵
        
        PID:4596
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        283⤵
        
        PID:1864
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        283⤵
        
        PID:4428
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        284⤵
        
        PID:4828
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        284⤵
        
        PID:1252
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        285⤵
        
        PID:1436
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        285⤵
        
        PID:1692
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        286⤵
        
        PID:1012
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        286⤵
        
        PID:4924
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        287⤵
        
        PID:4972
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        287⤵
        
        PID:4336
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        288⤵
        
        PID:2112
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        288⤵
        
        PID:5116
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        289⤵
        
        PID:3512
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        289⤵
        
        PID:1604
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        290⤵
        
        PID:4280
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        290⤵
        
        PID:3588
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        291⤵
        
        PID:2064
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        291⤵
        
        PID:2472
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        292⤵
        
        PID:1188
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        292⤵
        
        PID:2240
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        293⤵
        
        PID:696
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        293⤵
        
        PID:4892
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        294⤵
        
        PID:4948
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        294⤵
        
        PID:3868
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        295⤵
        
        PID:2332
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        295⤵
        
        PID:3096
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        296⤵
        
        PID:1956
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        296⤵
        
        PID:3860
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        297⤵
        
        PID:2204
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        297⤵
        
        PID:2452
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        298⤵
        
        PID:3464
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        298⤵
        
        PID:2200
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        299⤵
        
        PID:1444
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        299⤵
        
        PID:1512
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        300⤵
        
        PID:3540
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        300⤵
        
        PID:4456
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        301⤵
        
        PID:4284
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        301⤵
        
        PID:3760
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        302⤵
        
        PID:3388
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        302⤵
        
        PID:4904
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        303⤵
        
        PID:2508
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        303⤵
        
        PID:3000
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        304⤵
        
        PID:4220
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        304⤵
        
        PID:2768
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        305⤵
        
        PID:4548
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        305⤵
        
        PID:3632
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        306⤵
        
        PID:3020
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        306⤵
        
        PID:2092
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        307⤵
        
        PID:4004
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        307⤵
        
        PID:436
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        308⤵
        
        PID:3940
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        308⤵
        
        PID:3504
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        309⤵
        
        PID:4564
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        309⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        310⤵
        
        PID:1316
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        310⤵
        
        PID:4328
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        311⤵
        
        PID:1016
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        311⤵
        
        PID:4116
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        312⤵
        
        PID:4828
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        312⤵
        
        PID:2452
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        313⤵
        
        PID:2512
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        313⤵
        
        PID:2200
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        314⤵
        
        PID:4532
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        314⤵
        
        PID:1244
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        315⤵
        
        PID:4972
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        315⤵
        
        PID:4456
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        316⤵
        
        PID:1344
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        316⤵
        
        PID:3760
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        317⤵
        
        PID:388
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        317⤵
        
        PID:4812
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        318⤵
        
        PID:1776
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        318⤵
        
        PID:3000
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        319⤵
        
        PID:4360
        
        C:\Windows\SysWOW64\Windupdt\winlogon.exe
        
        "C:\Windows\system32\Windupdt\winlogon.exe"
        319⤵
        
        PID:2488
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        318⤵
        Runs ping.exe
        
        PID:2064
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        319⤵
        
        PID:684
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        317⤵
        
        PID:3584
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        316⤵
        
        PID:4688
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        315⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4408
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        314⤵
        
        PID:3264
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        313⤵
        
        PID:1828
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        314⤵
        
        PID:452
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        312⤵
        
        PID:1252
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        311⤵
        
        PID:1008
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        310⤵
        
        PID:1552
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        311⤵
        
        PID:1908
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        309⤵
        
        PID:3692
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        308⤵
        
        PID:3316
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        307⤵
        
        PID:3560
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        306⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        305⤵
        
        PID:3588
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        304⤵
        
        PID:1604
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        303⤵
        
        PID:540
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        302⤵
        
        PID:3252
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        303⤵
        
        PID:716
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        301⤵
        
        PID:4680
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        300⤵
        
        PID:1320
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        299⤵
        
        PID:1484
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        300⤵
        
        PID:2972
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        298⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3052
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        297⤵
        
        PID:1240
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        296⤵
        
        PID:4868
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        297⤵
        
        PID:4768
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        295⤵
        Runs ping.exe
        
        PID:4772
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        294⤵
        
        PID:3200
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        293⤵
        
        PID:4864
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        292⤵
        Runs ping.exe
        
        PID:4640
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        291⤵
        
        PID:1600
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        292⤵
        
        PID:804
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        290⤵
        
        PID:972
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        289⤵
        Runs ping.exe
        
        PID:4812
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        288⤵
        
        PID:3092
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        287⤵
        
        PID:4388
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        288⤵
        
        PID:2432
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        286⤵
        
        PID:1768
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        287⤵
        
        PID:4292
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        285⤵
        
        PID:2972
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        284⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        283⤵
        
        PID:836
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        282⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2340
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        283⤵
        
        PID:3948
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        281⤵
        
        PID:2072
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        280⤵
        
        PID:2324
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        279⤵
        
        PID:3928
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        278⤵
        Runs ping.exe
        
        PID:1628
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        279⤵
        
        PID:1744
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        277⤵
        Runs ping.exe
        
        PID:3628
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        276⤵
        Runs ping.exe
        
        PID:3632
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        275⤵
        Runs ping.exe
        
        PID:3512
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        274⤵
        Runs ping.exe
        
        PID:1260
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        275⤵
        
        PID:4408
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        273⤵
        
        PID:3820
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        272⤵
        
        PID:4656
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        273⤵
        
        PID:1512
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        271⤵
        
        PID:3216
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        272⤵
        
        PID:2528
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        270⤵
        
        PID:1664
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        269⤵
        
        PID:4596
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        270⤵
        
        PID:3748
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        268⤵
        
        PID:3284
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        267⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2356
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        268⤵
        
        PID:436
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        266⤵
        
        PID:5092
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        265⤵
        
        PID:3628
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        264⤵
        
        PID:4824
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        265⤵
        
        PID:1396
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        263⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:1560
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        262⤵
        
        PID:1356
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        261⤵
        Runs ping.exe
        
        PID:4920
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        260⤵
        Runs ping.exe
        
        PID:1768
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        261⤵
        
        PID:4204
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        259⤵
        
        PID:5112
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        258⤵
        
        PID:1664
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        257⤵
        
        PID:4428
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        256⤵
        
        PID:2204
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        255⤵
        Runs ping.exe
        
        PID:1056
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        254⤵
        
        PID:4452
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        253⤵
        
        PID:3772
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        254⤵
        
        PID:2284
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        252⤵
        
        PID:3760
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        251⤵
        
        PID:2608
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        250⤵
        
        PID:1780
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        249⤵
        
        PID:4636
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        248⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3592
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        247⤵
        
        PID:1620
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        246⤵
        
        PID:640
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        245⤵
        
        PID:1956
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        246⤵
        
        PID:2720
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        244⤵
        
        PID:1220
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        245⤵
        
        PID:716
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        243⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4548
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        242⤵
        
        PID:3728
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        241⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4452
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        240⤵
        
        PID:2064
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        239⤵
        
        PID:2264
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        240⤵
        
        PID:4544
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        238⤵
        
        PID:4680
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        239⤵
        
        PID:1640
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        237⤵
        
        PID:1588
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        236⤵
        
        PID:2600
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        235⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4988
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        234⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2452
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        235⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        233⤵
        
        PID:2236
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        234⤵
        
        PID:960
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        232⤵
        
        PID:5104
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        231⤵
        
        PID:1604
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        230⤵
        
        PID:4004
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        229⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3556
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        228⤵
        Runs ping.exe
        
        PID:3244
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        227⤵
        
        PID:5092
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        226⤵
        
        PID:4452
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        227⤵
        
        PID:1836
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        225⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:3632
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        224⤵
        
        PID:3512
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        223⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2688
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        222⤵
        
        PID:1320
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        221⤵
        Runs ping.exe
        
        PID:3184
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        220⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4372
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        221⤵
        
        PID:1512
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        219⤵
        
        PID:748
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        218⤵
        
        PID:960
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        219⤵
        
        PID:4120
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        217⤵
        Runs ping.exe
        
        PID:5056
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        216⤵
        
        PID:3664
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        217⤵
        
        PID:2872
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        215⤵
        
        PID:4664
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        214⤵
        
        PID:996
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        213⤵
        
        PID:3384
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        212⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3020
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        213⤵
        
        PID:3564
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        211⤵
        
        PID:4452
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        210⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:1944
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        209⤵
        
        PID:3512
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        208⤵
        
        PID:388
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        207⤵
        Runs ping.exe
        
        PID:2432
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        206⤵
        
        PID:2112
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        205⤵
        
        PID:4456
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        206⤵
        
        PID:4656
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        204⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4636
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        205⤵
        
        PID:3216
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        203⤵
        
        PID:960
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        204⤵
        
        PID:4428
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        202⤵
        Runs ping.exe
        
        PID:2340
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        201⤵
        
        PID:3664
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        200⤵
        
        PID:2204
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        199⤵
        
        PID:948
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        198⤵
        
        PID:4968
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        197⤵
        
        PID:3856
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        196⤵
        
        PID:1836
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        195⤵
        System Location Discovery: System Language Discovery
        
        PID:5052
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        194⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4544
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        193⤵
        Runs ping.exe
        
        PID:3680
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        192⤵
        
        PID:3092
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        191⤵
        
        PID:2788
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        192⤵
        
        PID:3184
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        190⤵
        Runs ping.exe
        
        PID:2320
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        191⤵
        
        PID:836
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        189⤵
        
        PID:1016
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        190⤵
        
        PID:1664
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        188⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        187⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1908
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        186⤵
        
        PID:3316
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        185⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4764
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        184⤵
        Runs ping.exe
        
        PID:944
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        185⤵
        
        PID:4652
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        183⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:3736
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        182⤵
        
        PID:4140
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        183⤵
        
        PID:2584
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        181⤵
        
        PID:3832
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        180⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:3252
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        179⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3760
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        178⤵
        
        PID:3820
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        179⤵
        
        PID:4932
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        177⤵
        System Location Discovery: System Language Discovery
        
        PID:5108
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        176⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4372
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        175⤵
        
        PID:2528
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        174⤵
        
        PID:4120
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        173⤵
        
        PID:4256
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        172⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3948
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        171⤵
        
        PID:1152
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        172⤵
        
        PID:2072
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        170⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:1924
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        169⤵
        Runs ping.exe
        
        PID:2732
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        170⤵
        
        PID:3560
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        168⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4852
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        167⤵
        Runs ping.exe
        
        PID:5052
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        168⤵
        
        PID:4012
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        166⤵
        
        PID:2972
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        165⤵
        
        PID:2432
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        164⤵
        
        PID:1124
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        165⤵
        
        PID:4584
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        163⤵
        
        PID:1444
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        162⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4772
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        161⤵
        System Location Discovery: System Language Discovery
        
        PID:1212
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        160⤵
        Runs ping.exe
        
        PID:3576
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        159⤵
        Runs ping.exe
        
        PID:4072
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        158⤵
        
        PID:3320
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        157⤵
        Runs ping.exe
        
        PID:2612
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        156⤵
        System Location Discovery: System Language Discovery
        
        PID:3856
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        155⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:712
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        154⤵
        
        PID:2408
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        155⤵
        
        PID:4824
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        153⤵
        
        PID:4296
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        152⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        151⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:212
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        150⤵
        
        PID:4532
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        149⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:432
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        148⤵
        System Location Discovery: System Language Discovery
        
        PID:3116
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        147⤵
        
        PID:4256
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        148⤵
        
        PID:3692
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        146⤵
        
        PID:696
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        145⤵
        
        PID:4088
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        146⤵
        
        PID:2072
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        144⤵
        System Location Discovery: System Language Discovery
        
        PID:1532
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        143⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:4692
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        142⤵
        
        PID:1088
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        141⤵
        
        PID:1776
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        142⤵
        
        PID:2264
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        140⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4840
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        139⤵
        
        PID:3476
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        138⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2236
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        139⤵
        
        PID:4988
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        137⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        136⤵
        Runs ping.exe
        
        PID:2452
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        137⤵
        
        PID:4828
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        135⤵
        
        PID:2288
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        134⤵
        
        PID:3404
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        133⤵
        System Location Discovery: System Language Discovery
        
        PID:1332
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        134⤵
        
        PID:1704
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        132⤵
        
        PID:3564
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        131⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:2584
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        132⤵
        
        PID:3984
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        130⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2568
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        129⤵
        
        PID:1468
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        130⤵
        
        PID:1876
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        128⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:1884
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        127⤵
        
        PID:4388
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        126⤵
        System Location Discovery: System Language Discovery
        
        PID:2788
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        125⤵
        
        PID:836
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        124⤵
        
        PID:4120
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        125⤵
        
        PID:1692
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        123⤵
        Runs ping.exe
        
        PID:1616
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        122⤵
        Runs ping.exe
        
        PID:1956
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        121⤵
        
        PID:2204
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        120⤵
        System Location Discovery: System Language Discovery
        
        PID:2072
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        119⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3516
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        118⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:388
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        117⤵
        System Location Discovery: System Language Discovery
        
        PID:2344
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        118⤵
        
        PID:4880
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        116⤵
        
        PID:4824
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        117⤵
        
        PID:3584
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        115⤵
        System Location Discovery: System Language Discovery
        
        PID:3052
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        114⤵
        
        PID:3184
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        113⤵
        
        PID:4204
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        112⤵
        System Location Discovery: System Language Discovery
        
        PID:4928
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        111⤵
        
        PID:5088
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        110⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2948
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        111⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        109⤵
        
        PID:4596
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        108⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3244
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        109⤵
        
        PID:2312
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        107⤵
        
        PID:64
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        106⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2164
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        105⤵
        
        PID:3448
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        104⤵
        
        PID:1884
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        103⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4840
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        104⤵
        
        PID:2608
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        102⤵
        
        PID:3184
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        101⤵
        
        PID:1512
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        102⤵
        
        PID:2276
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        100⤵
        
        PID:2600
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        99⤵
        
        PID:2452
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        98⤵
        
        PID:4676
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        99⤵
        
        PID:3212
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        97⤵
        
        PID:1620
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        98⤵
        
        PID:4004
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        96⤵
        
        PID:3948
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        95⤵
        
        PID:4864
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        94⤵
        
        PID:3984
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        93⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4528
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        92⤵
        
        PID:3584
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        91⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        90⤵
        System Location Discovery: System Language Discovery
        
        PID:2944
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        91⤵
        
        PID:2788
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        89⤵
        
        PID:904
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        88⤵
        System Location Discovery: System Language Discovery
        
        PID:5028
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        87⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2388
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        86⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:1956
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        85⤵
        
        PID:3508
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        84⤵
        System Location Discovery: System Language Discovery
        
        PID:4768
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        83⤵
        
        PID:3560
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        82⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:5052
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        81⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:3772
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        80⤵
        
        PID:2608
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        79⤵
        
        PID:1396
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        78⤵
        
        PID:684
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        77⤵
        Runs ping.exe
        
        PID:2320
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        76⤵
        
        PID:4500
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        75⤵
        
        PID:1744
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        74⤵
        Runs ping.exe
        
        PID:4596
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        73⤵
        
        PID:4952
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        72⤵
        Runs ping.exe
        
        PID:2732
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        71⤵
        Runs ping.exe
        
        PID:1060
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        70⤵
        
        PID:1776
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        69⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2596
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        68⤵
        
        PID:1320
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        67⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:4248
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        66⤵
        
        PID:3680
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        65⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:392
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        64⤵
        
        PID:1212
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        63⤵
        
        PID:2312
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        62⤵
        
        PID:2612
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        61⤵
        
        PID:3728
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        60⤵
        Runs ping.exe
        
        PID:2352
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        59⤵
        
        PID:712
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        58⤵
        
        PID:4424
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        57⤵
        
        PID:2608
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        56⤵
        
        PID:2944
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        55⤵
        Runs ping.exe
        
        PID:748
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        54⤵
        Runs ping.exe
        
        PID:1312
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        53⤵
        
        PID:4268
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        52⤵
        
        PID:3640
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        53⤵
        
        PID:4292
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        51⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:360
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        50⤵
        
        PID:4556
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        49⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1076
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        48⤵
        
        PID:4548
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        47⤵
        
        PID:2284
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        46⤵
        
        PID:4992
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        45⤵
        
        PID:2596
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        44⤵
        
        PID:3228
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        43⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:1544
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        42⤵
        Runs ping.exe
        
        PID:4428
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        41⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3748
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        42⤵
        
        PID:5056
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        40⤵
        
        PID:1952
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        41⤵
        
        PID:4464
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        39⤵
        
        PID:4792
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        38⤵
        System Location Discovery: System Language Discovery
        
        PID:1476
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        37⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4916
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        38⤵
        
        PID:460
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        36⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2444
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        35⤵
        
        PID:712
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        34⤵
        
        PID:5004
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        33⤵
        System Location Discovery: System Language Discovery
        
        PID:1448
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        32⤵
        Runs ping.exe
        
        PID:3776
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        31⤵
        Runs ping.exe
        
        PID:3476
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        30⤵
        
        PID:4956
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        29⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:740
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        30⤵
        
        PID:5020
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        28⤵
        
        PID:1616
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        27⤵
        Runs ping.exe
        
        PID:2548
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        26⤵
        
        PID:4596
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        25⤵
        
        PID:2352
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        24⤵
        
        PID:712
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        23⤵
        
        PID:1876
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        22⤵
        Runs ping.exe
        
        PID:1448
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        21⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3776
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        20⤵
        
        PID:3476
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        19⤵
        
        PID:5096
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        18⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        17⤵
        
        PID:4464
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        16⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:3948
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        15⤵
        
        PID:4304
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        14⤵
        System Location Discovery: System Language Discovery
        
        PID:1124
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        13⤵
        
        PID:4260
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        12⤵
        Runs ping.exe
        
        PID:4628
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        11⤵
        
        PID:4012
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        10⤵
        
        PID:1664
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        9⤵
        System Location Discovery: System Language Discovery
        
        PID:684
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        8⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:5028
        
        C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        7⤵
        
        PID:3604
      - C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        6⤵
        
        PID:2720
    - - C:\Windows\SysWOW64\ping.exe
        
        ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:1532
  - - C:\Windows\SysWOW64\ping.exe
      ping 127.0.0.1 -n 5 > NUL del "C:\Windows\SysWOW64\Windupdt\winlogon.exe"
      4⤵
      PID:4804
- - C:\Windows\SysWOW64\ping.exe
    ping 127.0.0.1 -n 5 > NUL del "C:\Users\Admin\AppData\Roaming\jyizznXbIjSoJnpZJFAay\jyizznXbIjSoJnpZJFAay\1.4.4.0\virus bueno.exe"
    3⤵
    PID:1216

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k netsvcs -p -s UsoSvc
1⤵
PID:1168

C:\Windows\system32\backgroundTaskHost.exe
"C:\Windows\system32\backgroundTaskHost.exe" -ServerName:App.AppXmtcan0h2tfbfy7k9kn8hbxb6dmzz1zh0.mca
1⤵
PID:4248

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k wusvcs -p -s WaaSMedicSvc
1⤵
PID:1924

C:\Windows\system32\backgroundTaskHost.exe
"C:\Windows\system32\backgroundTaskHost.exe" -ServerName:App.AppXmtcan0h2tfbfy7k9kn8hbxb6dmzz1zh0.mca
1⤵
PID:2732

C:\Windows\system32\BackgroundTransferHost.exe
"BackgroundTransferHost.exe" -ServerName:BackgroundTransferHost.1
1⤵
PID:1184

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

Remote System Discovery

T1018

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

System Network Configuration Discovery

T1016

Internet Connection Discovery

T1016.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Roaming\jyizznXbIjSoJnpZJFAay\jyizznXbIjSoJnpZJFAay\1.4.4.0\virus bueno.exe

Filesize
733KB

MD5
7aa813f4990c4ddeeb16d89a273bee98

SHA1
3dd03a4065c1c7af1fd797b6394ad687d1bf051e

SHA256
5385bd002d1c0bc4bf2e66920ebf2f9aa995ae9b9b9005c190dacde8e6521f0a

SHA512
3dc36b36ae688585b2bed2e97e294361b88961e941b516e445c6009dbb784150c914e2c4ad048456c251b02a591302e47a12b29321d9d65422eb3ffdfcf5ba4d

Download Submit
memory/432-85-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/460-97-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/540-59-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/832-135-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/904-145-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/972-4-0x00007FFB42A70000-0x00007FFB43411000-memory.dmp

Filesize
9.6MB

Download
memory/972-18-0x00007FFB42A70000-0x00007FFB43411000-memory.dmp

Filesize
9.6MB

Download
memory/972-0-0x00007FFB42D25000-0x00007FFB42D26000-memory.dmp

Filesize
4KB

Download
memory/972-5-0x000000001C2E0000-0x000000001C3B2000-memory.dmp

Filesize
840KB

Download
memory/972-3-0x000000001BD30000-0x000000001C1FE000-memory.dmp

Filesize
4.8MB

Download
memory/972-2-0x00007FFB42A70000-0x00007FFB43411000-memory.dmp

Filesize
9.6MB

Download
memory/972-1-0x000000001B760000-0x000000001B806000-memory.dmp

Filesize
664KB

Download
memory/996-63-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/1056-57-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/1168-73-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/1252-69-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/1316-122-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/1360-113-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/1440-107-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/1444-132-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/1472-116-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/1472-52-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/1492-67-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/1668-103-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/1704-117-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/1732-109-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/1828-134-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/1864-131-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/2144-71-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/2156-14-0x0000000002300000-0x0000000002301000-memory.dmp

Filesize
4KB

Download
memory/2156-50-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/2204-142-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/2236-123-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/2280-75-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/2312-118-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/2388-79-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/2508-129-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/2688-93-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/2768-55-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/3060-127-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/3320-95-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/3516-124-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/3576-61-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/3832-133-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/3856-128-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/3916-115-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/3940-114-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/3984-139-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4012-89-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4092-125-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4252-137-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4256-77-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4256-130-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4256-99-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4292-119-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4532-87-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4560-138-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4628-136-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4648-91-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4760-105-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4764-140-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4780-126-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4828-143-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4880-111-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4908-144-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4952-141-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/4968-101-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/5020-81-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/5028-121-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/5044-120-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/5088-65-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/5104-83-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads