darkcomet | 9ec403cf7126138cc18f828df5a640e1f3381d48de9f50fe1d835112a704940d

Analysis

max time kernel
19s
max time network
148s
platform
windows10-2004_x64
resource
win10v2004-20241007-en
resource tags

arch:x64arch:x86image:win10v2004-20241007-enlocale:en-usos:windows10-2004-x64system
submitted
24/10/2024, 16:00

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

745c3a3ac62e8bcf066e34d30b30f751_JaffaCakes118.exe
Size

1.3MB
MD5

745c3a3ac62e8bcf066e34d30b30f751
SHA1

32b0f2fad0f3f9adf095fd56dabdc5d8ad8b3d0f
SHA256

9ec403cf7126138cc18f828df5a640e1f3381d48de9f50fe1d835112a704940d
SHA512

414cfaf15c668e75bd73e0adc77146db6f76fb68132db4ccf832cdccb68950ba66b4a93a00bbf65838b719a215f43ef2a36e457129b980ff159a0a3d3adac363
SSDEEP

24576:BqaT9ieQ3fOc0pDiQHWHzNSYlMRpFhXSauawScGnV5:B/dvp+QHWHVMRprX5P

Score

10^/10

darkcomet discovery persistence rat trojan

Malware Config

Signatures

Darkcomet
DarkComet is a remote access trojan (RAT) developed by Jean-Pierre Lesueur.
trojan rat darkcomet

Modifies WinLogon for persistence 2 TTPs 64 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	Crypted.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe,C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe

Checks BIOS information in registry 2 TTPs 64 IoCs

BIOS information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	Crypted.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wincfg.exe

Checks computer location settings 2 TTPs 64 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	745c3a3ac62e8bcf066e34d30b30f751_JaffaCakes118.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	wincfg.exe

Executes dropped EXE 64 IoCs

pid	Process
1504	Crypted.exe
3368	wincfg.exe
4572	wincfg.exe
1340	wincfg.exe
556	wincfg.exe
4048	wincfg.exe
548	wincfg.exe
2092	wincfg.exe
1788	wincfg.exe
3168	wincfg.exe
3532	wincfg.exe
4260	wincfg.exe
2928	wincfg.exe
3940	wincfg.exe
5080	wincfg.exe
1220	wincfg.exe
4896	wincfg.exe
772	wincfg.exe
1452	wincfg.exe
4304	wincfg.exe
3952	wincfg.exe
1760	wincfg.exe
3488	wincfg.exe
756	wincfg.exe
2796	wincfg.exe
1764	wincfg.exe
1216	wincfg.exe
2304	wincfg.exe
3060	wincfg.exe
2996	wincfg.exe
4896	wincfg.exe
2772	wincfg.exe
3616	wincfg.exe
4048	wincfg.exe
548	wincfg.exe
3372	wincfg.exe
1336	wincfg.exe
1828	wincfg.exe
3084	wincfg.exe
5016	wincfg.exe
2776	wincfg.exe
4572	wincfg.exe
3284	wincfg.exe
4976	wincfg.exe
3756	wincfg.exe
4220	wincfg.exe
4940	wincfg.exe
1276	wincfg.exe
4296	wincfg.exe
3056	wincfg.exe
3592	wincfg.exe
2732	wincfg.exe
536	wincfg.exe
5080	wincfg.exe
2864	wincfg.exe
4584	wincfg.exe
5092	wincfg.exe
4392	wincfg.exe
4196	wincfg.exe
448	wincfg.exe
1976	wincfg.exe
3532	wincfg.exe
1964	wincfg.exe
2216	wincfg.exe

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	Crypted.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	wincfg.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winconfig.exe = "C:\\Windows\\system32\\dllcache\\wincfg.exe"	notepad.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	Crypted.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\wincfg.exe	wincfg.exe
File opened for modification	C:\Windows\SysWOW64\dllcache\	wincfg.exe
File created	C:\Windows\SysWOW64\dllcache\wincfg.exe	notepad.exe

Suspicious use of SetThreadContext 64 IoCs

description	pid	Process	procid_target
PID 1504 set thread context of 2660	1504	Crypted.exe	89
PID 3368 set thread context of 3308	3368	wincfg.exe	92
PID 4572 set thread context of 1652	4572	wincfg.exe	95
PID 1340 set thread context of 1712	1340	wincfg.exe	288
PID 556 set thread context of 2380	556	wincfg.exe	101
PID 4048 set thread context of 3976	4048	wincfg.exe	368
PID 548 set thread context of 4740	548	wincfg.exe	261
PID 2092 set thread context of 4240	2092	wincfg.exe	110
PID 1788 set thread context of 4252	1788	wincfg.exe	154
PID 3168 set thread context of 4412	3168	wincfg.exe	116
PID 3532 set thread context of 2256	3532	wincfg.exe	428
PID 4260 set thread context of 2936	4260	wincfg.exe	412
PID 2928 set thread context of 1544	2928	wincfg.exe	125
PID 3940 set thread context of 3068	3940	wincfg.exe	208
PID 5080 set thread context of 788	5080	wincfg.exe	131
PID 1220 set thread context of 1348	1220	wincfg.exe	483
PID 4896 set thread context of 2640	4896	wincfg.exe	387
PID 772 set thread context of 2772	772	wincfg.exe	329
PID 1452 set thread context of 4972	1452	wincfg.exe	400
PID 4304 set thread context of 4048	4304	wincfg.exe	188
PID 3952 set thread context of 548	3952	wincfg.exe	191
PID 1760 set thread context of 3372	1760	wincfg.exe	567
PID 3488 set thread context of 1788	3488	wincfg.exe	501
PID 756 set thread context of 2016	756	wincfg.exe	542
PID 2796 set thread context of 3084	2796	wincfg.exe	350
PID 1764 set thread context of 1480	1764	wincfg.exe	164
PID 1216 set thread context of 2364	1216	wincfg.exe	545
PID 2304 set thread context of 436	2304	wincfg.exe	421
PID 3060 set thread context of 1928	3060	wincfg.exe	175
PID 2996 set thread context of 968	2996	wincfg.exe	178
PID 4896 set thread context of 4208	4896	wincfg.exe	692
PID 2772 set thread context of 5052	2772	wincfg.exe	221
PID 3616 set thread context of 116	3616	wincfg.exe	623
PID 4048 set thread context of 1488	4048	wincfg.exe	365
PID 548 set thread context of 216	548	wincfg.exe	193
PID 3372 set thread context of 1384	3372	wincfg.exe	301
PID 1336 set thread context of 2892	1336	wincfg.exe	742
PID 1828 set thread context of 5056	1828	wincfg.exe	678
PID 3084 set thread context of 4780	3084	wincfg.exe	674
PID 5016 set thread context of 1076	5016	wincfg.exe	209
PID 2776 set thread context of 4756	2776	wincfg.exe	691
PID 4572 set thread context of 3664	4572	wincfg.exe	686
PID 3284 set thread context of 3124	3284	wincfg.exe	849
PID 4976 set thread context of 2772	4976	wincfg.exe	663
PID 3756 set thread context of 3616	3756	wincfg.exe	793
PID 4220 set thread context of 400	4220	wincfg.exe	228
PID 4940 set thread context of 1760	4940	wincfg.exe	604
PID 1276 set thread context of 3372	1276	wincfg.exe	567
PID 4296 set thread context of 1336	4296	wincfg.exe	769
PID 3056 set thread context of 5036	3056	wincfg.exe	378
PID 3592 set thread context of 4764	3592	wincfg.exe	315
PID 2732 set thread context of 3416	2732	wincfg.exe	840
PID 536 set thread context of 2188	536	wincfg.exe	981
PID 5080 set thread context of 3660	5080	wincfg.exe	252
PID 2864 set thread context of 3284	2864	wincfg.exe	685
PID 4584 set thread context of 4976	4584	wincfg.exe	677
PID 5092 set thread context of 4740	5092	wincfg.exe	457
PID 4392 set thread context of 3976	4392	wincfg.exe	877
PID 4196 set thread context of 4892	4196	wincfg.exe	973
PID 448 set thread context of 3488	448	wincfg.exe	1090
PID 1976 set thread context of 1020	1976	wincfg.exe	945
PID 3532 set thread context of 2796	3532	wincfg.exe	381
PID 1964 set thread context of 3604	1964	wincfg.exe	1153
PID 2216 set thread context of 2928	2216	wincfg.exe	282

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Program crash 10 IoCs

pid	pid_target	Process	procid_target
2772	4756	WerFault.exe	321
3824	4260	WerFault.exe	960
4620	4216	Process not Found	1307
4240	3940	Process not Found	1247
3128	2252	Process not Found	2212
2040	2860	Process not Found	2217
4584	4824	Process not Found	2477
3372	5104	Process not Found	3950
1452	3604	Process not Found	4090
3104	1084	Process not Found	4110

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wincfg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wincfg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wincfg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wincfg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wincfg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wincfg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wincfg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wincfg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wincfg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wincfg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wincfg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wincfg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wincfg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wincfg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wincfg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wincfg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wincfg.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wincfg.exe

Checks processor information in registry 2 TTPs 64 IoCs

Processor information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	explorer.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wincfg.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	explorer.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wincfg.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	explorer.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	explorer.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wincfg.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wincfg.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wincfg.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	explorer.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	explorer.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wincfg.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	explorer.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wincfg.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	explorer.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wincfg.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	explorer.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wincfg.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	explorer.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wincfg.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wincfg.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	explorer.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	explorer.exe

Enumerates system info in registry 2 TTPs 64 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wincfg.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	explorer.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeIncreaseQuotaPrivilege	1504	Crypted.exe
Token: SeSecurityPrivilege	1504	Crypted.exe
Token: SeTakeOwnershipPrivilege	1504	Crypted.exe
Token: SeLoadDriverPrivilege	1504	Crypted.exe
Token: SeSystemProfilePrivilege	1504	Crypted.exe
Token: SeSystemtimePrivilege	1504	Crypted.exe
Token: SeProfSingleProcessPrivilege	1504	Crypted.exe
Token: SeIncBasePriorityPrivilege	1504	Crypted.exe
Token: SeCreatePagefilePrivilege	1504	Crypted.exe
Token: SeBackupPrivilege	1504	Crypted.exe
Token: SeRestorePrivilege	1504	Crypted.exe
Token: SeShutdownPrivilege	1504	Crypted.exe
Token: SeDebugPrivilege	1504	Crypted.exe
Token: SeSystemEnvironmentPrivilege	1504	Crypted.exe
Token: SeChangeNotifyPrivilege	1504	Crypted.exe
Token: SeRemoteShutdownPrivilege	1504	Crypted.exe
Token: SeUndockPrivilege	1504	Crypted.exe
Token: SeManageVolumePrivilege	1504	Crypted.exe
Token: SeImpersonatePrivilege	1504	Crypted.exe
Token: SeCreateGlobalPrivilege	1504	Crypted.exe
Token: 33	1504	Crypted.exe
Token: 34	1504	Crypted.exe
Token: 35	1504	Crypted.exe
Token: 36	1504	Crypted.exe
Token: SeIncreaseQuotaPrivilege	2660	explorer.exe
Token: SeSecurityPrivilege	2660	explorer.exe
Token: SeTakeOwnershipPrivilege	2660	explorer.exe
Token: SeLoadDriverPrivilege	2660	explorer.exe
Token: SeSystemProfilePrivilege	2660	explorer.exe
Token: SeSystemtimePrivilege	2660	explorer.exe
Token: SeProfSingleProcessPrivilege	2660	explorer.exe
Token: SeIncBasePriorityPrivilege	2660	explorer.exe
Token: SeCreatePagefilePrivilege	2660	explorer.exe
Token: SeBackupPrivilege	2660	explorer.exe
Token: SeRestorePrivilege	2660	explorer.exe
Token: SeShutdownPrivilege	2660	explorer.exe
Token: SeDebugPrivilege	2660	explorer.exe
Token: SeSystemEnvironmentPrivilege	2660	explorer.exe
Token: SeChangeNotifyPrivilege	2660	explorer.exe
Token: SeRemoteShutdownPrivilege	2660	explorer.exe
Token: SeUndockPrivilege	2660	explorer.exe
Token: SeManageVolumePrivilege	2660	explorer.exe
Token: SeImpersonatePrivilege	2660	explorer.exe
Token: SeCreateGlobalPrivilege	2660	explorer.exe
Token: 33	2660	explorer.exe
Token: 34	2660	explorer.exe
Token: 35	2660	explorer.exe
Token: 36	2660	explorer.exe
Token: SeIncreaseQuotaPrivilege	3368	wincfg.exe
Token: SeSecurityPrivilege	3368	wincfg.exe
Token: SeTakeOwnershipPrivilege	3368	wincfg.exe
Token: SeLoadDriverPrivilege	3368	wincfg.exe
Token: SeSystemProfilePrivilege	3368	wincfg.exe
Token: SeSystemtimePrivilege	3368	wincfg.exe
Token: SeProfSingleProcessPrivilege	3368	wincfg.exe
Token: SeIncBasePriorityPrivilege	3368	wincfg.exe
Token: SeCreatePagefilePrivilege	3368	wincfg.exe
Token: SeBackupPrivilege	3368	wincfg.exe
Token: SeRestorePrivilege	3368	wincfg.exe
Token: SeShutdownPrivilege	3368	wincfg.exe
Token: SeDebugPrivilege	3368	wincfg.exe
Token: SeSystemEnvironmentPrivilege	3368	wincfg.exe
Token: SeChangeNotifyPrivilege	3368	wincfg.exe
Token: SeRemoteShutdownPrivilege	3368	wincfg.exe

Suspicious use of SetWindowsHookEx 1 IoCs

pid	Process
2660	explorer.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 532 wrote to memory of 1504	532	745c3a3ac62e8bcf066e34d30b30f751_JaffaCakes118.exe	313
PID 532 wrote to memory of 1504	532	745c3a3ac62e8bcf066e34d30b30f751_JaffaCakes118.exe	313
PID 532 wrote to memory of 1504	532	745c3a3ac62e8bcf066e34d30b30f751_JaffaCakes118.exe	313
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 4400	1504	Crypted.exe	88
PID 1504 wrote to memory of 2660	1504	Crypted.exe	89
PID 1504 wrote to memory of 2660	1504	Crypted.exe	89
PID 1504 wrote to memory of 2660	1504	Crypted.exe	89
PID 1504 wrote to memory of 2660	1504	Crypted.exe	89
PID 1504 wrote to memory of 2660	1504	Crypted.exe	89
PID 1504 wrote to memory of 3368	1504	Crypted.exe	90
PID 1504 wrote to memory of 3368	1504	Crypted.exe	90
PID 1504 wrote to memory of 3368	1504	Crypted.exe	90
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 1324	3368	wincfg.exe	133
PID 3368 wrote to memory of 3308	3368	wincfg.exe	92
PID 3368 wrote to memory of 3308	3368	wincfg.exe	92
PID 3368 wrote to memory of 3308	3368	wincfg.exe	92
PID 3368 wrote to memory of 3308	3368	wincfg.exe	92
PID 3368 wrote to memory of 3308	3368	wincfg.exe	92
PID 3368 wrote to memory of 4572	3368	wincfg.exe	214
PID 3368 wrote to memory of 4572	3368	wincfg.exe	214

C:\Users\Admin\AppData\Local\Temp\745c3a3ac62e8bcf066e34d30b30f751_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\745c3a3ac62e8bcf066e34d30b30f751_JaffaCakes118.exe"
1⤵
- Checks computer location settings
- Suspicious use of WriteProcessMemory
PID:532
- C:\Users\Admin\AppData\Local\Temp\Crypted.exe
  "C:\Users\Admin\AppData\Local\Temp\Crypted.exe"
  2⤵
  - Modifies WinLogon for persistence
  - Checks BIOS information in registry
  - Executes dropped EXE
  - Adds Run key to start application
  - Drops file in System32 directory
  - Suspicious use of SetThreadContext
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:1504
- - C:\Windows\SysWOW64\notepad.exe
    notepad
    3⤵
    PID:4400
- - C:\Windows\SysWOW64\explorer.exe
    "C:\Windows\SysWOW64\explorer.exe"
    3⤵
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of SetWindowsHookEx
    PID:2660
- - C:\Windows\SysWOW64\dllcache\wincfg.exe
    "C:\Windows\system32\dllcache\wincfg.exe"
    3⤵
    - Executes dropped EXE
    - Drops file in System32 directory
    - Suspicious use of SetThreadContext
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:3368
  - - C:\Windows\SysWOW64\notepad.exe
      notepad
      4⤵
      Adds Run key to start application
      PID:1324
  - - C:\Windows\SysWOW64\explorer.exe
      "C:\Windows\SysWOW64\explorer.exe"
      4⤵
      Checks BIOS information in registry
      Checks processor information in registry
      Enumerates system info in registry
      PID:3308
  - - C:\Windows\SysWOW64\dllcache\wincfg.exe
      "C:\Windows\system32\dllcache\wincfg.exe"
      4⤵
      Modifies WinLogon for persistence
      Executes dropped EXE
      Suspicious use of SetThreadContext
      Enumerates system info in registry
      PID:4572
    - - C:\Windows\SysWOW64\notepad.exe
        
        notepad
        5⤵
        
        PID:2188
    - - C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        5⤵
        
        PID:1652
    - - C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        5⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:1340
      - C:\Windows\SysWOW64\notepad.exe
        
        notepad
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:2408
      - C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:1712
      - C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        6⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        
        PID:556
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        7⤵
        Adds Run key to start application
        
        PID:696
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        7⤵
        
        PID:2380
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        7⤵
        Checks computer location settings
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:4048
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        8⤵
        
        PID:1912
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        8⤵
        
        PID:3976
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:548
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        9⤵
        
        PID:400
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        9⤵
        
        PID:4740
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        9⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:2092
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        10⤵
        
        PID:1724
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        10⤵
        
        PID:4240
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        10⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:1788
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        11⤵
        System Location Discovery: System Language Discovery
        
        PID:3636
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        11⤵
        
        PID:4252
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        11⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:3168
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        12⤵
        
        PID:1192
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        12⤵
        
        PID:4412
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        12⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:3532
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        13⤵
        
        PID:4816
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        13⤵
        System Location Discovery: System Language Discovery
        
        PID:2256
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        13⤵
        Checks computer location settings
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:4260
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        14⤵
        
        PID:4672
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        14⤵
        System Location Discovery: System Language Discovery
        
        PID:2936
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        14⤵
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        
        PID:2928
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        15⤵
        Adds Run key to start application
        
        PID:3552
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        15⤵
        Checks BIOS information in registry
        
        PID:1544
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        15⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:3940
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        16⤵
        System Location Discovery: System Language Discovery
        
        PID:2344
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        16⤵
        Checks BIOS information in registry
        
        PID:3068
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        16⤵
        Checks computer location settings
        Executes dropped EXE
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:5080
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        17⤵
        
        PID:4548
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        17⤵
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:788
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        17⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:1220
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        18⤵
        Adds Run key to start application
        
        PID:1324
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        18⤵
        Checks BIOS information in registry
        
        PID:1348
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        18⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:4896
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        19⤵
        
        PID:2188
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        19⤵
        System Location Discovery: System Language Discovery
        
        PID:2640
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        19⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:772
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        20⤵
        System Location Discovery: System Language Discovery
        
        PID:2408
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        20⤵
        
        PID:2772
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        20⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:1452
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        21⤵
        
        PID:396
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        21⤵
        
        PID:4972
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        21⤵
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:4304
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        22⤵
        Adds Run key to start application
        
        PID:3976
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        22⤵
        
        PID:4048
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        22⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:3952
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        23⤵
        
        PID:4740
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        23⤵
        System Location Discovery: System Language Discovery
        
        PID:548
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        23⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:1760
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        24⤵
        Adds Run key to start application
        
        PID:4804
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        24⤵
        Checks processor information in registry
        
        PID:3372
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        24⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        
        PID:3488
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        25⤵
        
        PID:4252
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        25⤵
        System Location Discovery: System Language Discovery
        
        PID:1788
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        25⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:756
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        26⤵
        
        PID:728
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        26⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        26⤵
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2796
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        27⤵
        System Location Discovery: System Language Discovery
        
        PID:3468
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        27⤵
        
        PID:3084
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        27⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:1764
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        28⤵
        System Location Discovery: System Language Discovery
        
        PID:3728
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        28⤵
        
        PID:1480
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        28⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:1216
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        29⤵
        Adds Run key to start application
        
        PID:4844
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        29⤵
        
        PID:2364
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        29⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:2304
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        30⤵
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:3460
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        30⤵
        
        PID:436
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        30⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:3060
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        31⤵
        
        PID:4148
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        31⤵
        Checks processor information in registry
        
        PID:1928
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        31⤵
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:2996
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        32⤵
        
        PID:4152
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        32⤵
        
        PID:968
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        32⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:4896
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        33⤵
        
        PID:1340
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        33⤵
        Checks processor information in registry
        
        PID:4208
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        33⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:2772
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        34⤵
        Adds Run key to start application
        
        PID:1492
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        34⤵
        Checks BIOS information in registry
        
        PID:5052
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        34⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:3616
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        35⤵
        
        PID:1124
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        35⤵
        Checks BIOS information in registry
        Checks processor information in registry
        
        PID:116
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        35⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:4048
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        36⤵
        
        PID:4392
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        36⤵
        
        PID:1488
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        36⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:548
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        37⤵
        Drops file in System32 directory
        
        PID:2092
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        37⤵
        Enumerates system info in registry
        
        PID:216
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        37⤵
        Checks computer location settings
        Executes dropped EXE
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:3372
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        38⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2392
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        38⤵
        Checks processor information in registry
        
        PID:1384
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        38⤵
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:1336
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        39⤵
        
        PID:2404
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        39⤵
        Checks BIOS information in registry
        
        PID:2892
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        39⤵
        Checks computer location settings
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:1828
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        40⤵
        
        PID:1180
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        40⤵
        
        PID:5056
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        40⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:3084
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        41⤵
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:3512
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        41⤵
        System Location Discovery: System Language Discovery
        
        PID:4780
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        41⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:5016
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        42⤵
        
        PID:3068
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        42⤵
        Checks BIOS information in registry
        
        PID:1076
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        42⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:2776
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        43⤵
        
        PID:4812
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        43⤵
        System Location Discovery: System Language Discovery
        
        PID:4756
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        43⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:4572
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        44⤵
        
        PID:440
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        44⤵
        
        PID:3664
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        44⤵
        Checks computer location settings
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:3284
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        45⤵
        Adds Run key to start application
        
        PID:4712
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        45⤵
        Enumerates system info in registry
        
        PID:3124
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        45⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:4976
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        46⤵
        
        PID:5052
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        46⤵
        Checks BIOS information in registry
        
        PID:2772
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        46⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:3756
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        47⤵
        Drops file in System32 directory
        
        PID:116
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        47⤵
        Checks BIOS information in registry
        
        PID:3616
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        47⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        
        PID:4220
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        48⤵
        
        PID:3748
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        48⤵
        
        PID:400
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        48⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:4940
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        49⤵
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:840
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        49⤵
        Checks BIOS information in registry
        Enumerates system info in registry
        
        PID:1760
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        49⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:1276
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        50⤵
        Drops file in System32 directory
        
        PID:4252
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        50⤵
        System Location Discovery: System Language Discovery
        
        PID:3372
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        50⤵
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:4296
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        51⤵
        Adds Run key to start application
        
        PID:2892
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        51⤵
        System Location Discovery: System Language Discovery
        
        PID:1336
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        51⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:3056
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        52⤵
        
        PID:404
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        52⤵
        
        PID:5036
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        52⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:3592
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        53⤵
        Drops file in System32 directory
        
        PID:1480
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        53⤵
        Checks processor information in registry
        
        PID:4764
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        53⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:2732
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        54⤵
        System Location Discovery: System Language Discovery
        
        PID:4748
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        54⤵
        Checks processor information in registry
        
        PID:3416
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        54⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:536
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        55⤵
        
        PID:4608
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        55⤵
        
        PID:2188
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        55⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:5080
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        56⤵
        
        PID:3356
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        56⤵
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:3660
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        56⤵
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:2864
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        57⤵
        
        PID:3124
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        57⤵
        
        PID:3284
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        57⤵
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:4584
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        58⤵
        
        PID:2772
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        58⤵
        
        PID:4976
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        58⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:5092
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        59⤵
        
        PID:4508
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        59⤵
        
        PID:4740
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        59⤵
        Checks computer location settings
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:4392
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        60⤵
        
        PID:4912
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        60⤵
        Checks processor information in registry
        
        PID:3976
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        60⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:4196
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        61⤵
        Adds Run key to start application
        
        PID:4808
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        61⤵
        
        PID:4892
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        61⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:448
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        62⤵
        
        PID:2404
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        62⤵
        Enumerates system info in registry
        
        PID:3488
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        62⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:1976
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        63⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        63⤵
        
        PID:1020
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        63⤵
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:3532
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        64⤵
        System Location Discovery: System Language Discovery
        
        PID:1828
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        64⤵
        Enumerates system info in registry
        
        PID:2796
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        64⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:1964
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        65⤵
        Adds Run key to start application
        
        PID:1480
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        65⤵
        Checks processor information in registry
        
        PID:3604
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        65⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:2216
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        66⤵
        System Location Discovery: System Language Discovery
        
        PID:4436
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        66⤵
        Checks BIOS information in registry
        
        PID:2928
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        66⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:1660
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        67⤵
        
        PID:4608
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        67⤵
        
        PID:712
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        67⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        
        PID:4680
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        68⤵
        Drops file in System32 directory
        
        PID:1868
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        68⤵
        System Location Discovery: System Language Discovery
        
        PID:1712
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        68⤵
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:4624
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        69⤵
        
        PID:696
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        69⤵
        Checks BIOS information in registry
        
        PID:3124
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        69⤵
        Checks BIOS information in registry
        
        PID:4784
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        70⤵
        Adds Run key to start application
        
        PID:1932
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        70⤵
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1124
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        70⤵
        Checks computer location settings
        Adds Run key to start application
        
        PID:3024
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        71⤵
        
        PID:116
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        71⤵
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:4044
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        71⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        
        PID:3188
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        72⤵
        
        PID:1036
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        72⤵
        Checks BIOS information in registry
        
        PID:2392
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        72⤵
        Modifies WinLogon for persistence
        Enumerates system info in registry
        
        PID:1384
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        73⤵
        
        PID:2128
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        73⤵
        Checks BIOS information in registry
        System Location Discovery: System Language Discovery
        
        PID:212
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        73⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:3624
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        74⤵
        
        PID:4312
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        74⤵
        
        PID:4424
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        74⤵
        Checks processor information in registry
        
        PID:2300
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        75⤵
        
        PID:3112
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        75⤵
        Enumerates system info in registry
        
        PID:756
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        75⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:3748
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        76⤵
        
        PID:3916
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        76⤵
        
        PID:2220
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        76⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        77⤵
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:4764
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        77⤵
        System Location Discovery: System Language Discovery
        
        PID:2940
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        77⤵
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1348
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        78⤵
        
        PID:4692
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        78⤵
        
        PID:4812
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        78⤵
        Modifies WinLogon for persistence
        Checks processor information in registry
        
        PID:2872
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        79⤵
        
        PID:4756
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4756 -s 416
        80⤵
        Program crash
        
        PID:2772
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        79⤵
        
        PID:4608
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        79⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:556
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        80⤵
        
        PID:2864
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        80⤵
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2496
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        80⤵
        Drops file in System32 directory
        
        PID:5012
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        81⤵
        Adds Run key to start application
        
        PID:1932
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        81⤵
        
        PID:4948
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        81⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:1540
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        82⤵
        
        PID:116
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        82⤵
        
        PID:4380
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        82⤵
        
        PID:1760
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        83⤵
        Adds Run key to start application
        
        PID:3188
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        83⤵
        Enumerates system info in registry
        
        PID:4892
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        83⤵
        Checks BIOS information in registry
        Checks computer location settings
        
        PID:4308
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        84⤵
        
        PID:3740
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        84⤵
        
        PID:3488
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        84⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1436
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        85⤵
        
        PID:2892
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        85⤵
        Enumerates system info in registry
        
        PID:1940
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        85⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        
        PID:4868
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        86⤵
        
        PID:3308
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        86⤵
        Enumerates system info in registry
        
        PID:5116
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        86⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:456
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        87⤵
        
        PID:3508
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        87⤵
        
        PID:3084
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        87⤵
        Modifies WinLogon for persistence
        Enumerates system info in registry
        
        PID:2980
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        88⤵
        
        PID:3900
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        88⤵
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:1708
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        88⤵
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2988
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        89⤵
        Drops file in System32 directory
        
        PID:820
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        89⤵
        Checks BIOS information in registry
        
        PID:4748
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        89⤵
        Modifies WinLogon for persistence
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2088
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        90⤵
        
        PID:2408
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        90⤵
        Checks BIOS information in registry
        
        PID:3156
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        90⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        
        PID:4448
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        91⤵
        Adds Run key to start application
        
        PID:976
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        91⤵
        Checks BIOS information in registry
        
        PID:4208
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        91⤵
        Modifies WinLogon for persistence
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:3756
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        92⤵
        
        PID:2368
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        92⤵
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1488
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        92⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Checks processor information in registry
        
        PID:2480
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        93⤵
        
        PID:4220
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        93⤵
        Enumerates system info in registry
        
        PID:3976
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        93⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:4528
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        94⤵
        Adds Run key to start application
        
        PID:4940
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        94⤵
        Checks BIOS information in registry
        System Location Discovery: System Language Discovery
        
        PID:4344
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        94⤵
        Checks BIOS information in registry
        System Location Discovery: System Language Discovery
        
        PID:4892
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        95⤵
        Drops file in System32 directory
        
        PID:2360
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        95⤵
        Enumerates system info in registry
        
        PID:1644
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        95⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Checks processor information in registry
        
        PID:4728
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        96⤵
        
        PID:3476
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        96⤵
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:1884
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        96⤵
        Checks computer location settings
        Drops file in System32 directory
        
        PID:5036
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        97⤵
        
        PID:1020
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        97⤵
        
        PID:1940
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        97⤵
        Checks BIOS information in registry
        
        PID:2796
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        98⤵
        Adds Run key to start application
        
        PID:2364
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        98⤵
        
        PID:5116
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        98⤵
        
        PID:2028
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        99⤵
        
        PID:3508
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        99⤵
        Checks BIOS information in registry
        System Location Discovery: System Language Discovery
        
        PID:2640
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        99⤵
        
        PID:1064
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        100⤵
        Adds Run key to start application
        
        PID:4520
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        100⤵
        
        PID:4748
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        100⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1324
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        101⤵
        
        PID:2088
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        101⤵
        Checks processor information in registry
        
        PID:1432
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        101⤵
        
        PID:3128
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        102⤵
        
        PID:892
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        102⤵
        Checks processor information in registry
        
        PID:1720
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        102⤵
        Checks BIOS information in registry
        Enumerates system info in registry
        
        PID:944
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        103⤵
        
        PID:4972
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        103⤵
        
        PID:872
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        103⤵
        Checks BIOS information in registry
        Enumerates system info in registry
        
        PID:2212
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        104⤵
        
        PID:4620
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        104⤵
        
        PID:4404
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        104⤵
        Checks computer location settings
        System Location Discovery: System Language Discovery
        
        PID:1788
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        105⤵
        
        PID:3552
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        105⤵
        
        PID:3952
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        105⤵
        
        PID:756
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        106⤵
        System Location Discovery: System Language Discovery
        
        PID:2404
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        106⤵
        Checks BIOS information in registry
        
        PID:2592
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        106⤵
        Checks BIOS information in registry
        System Location Discovery: System Language Discovery
        
        PID:3092
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        107⤵
        Adds Run key to start application
        
        PID:2936
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        107⤵
        Checks BIOS information in registry
        
        PID:3940
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        107⤵
        Checks computer location settings
        System Location Discovery: System Language Discovery
        
        PID:5016
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        108⤵
        Adds Run key to start application
        
        PID:2412
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        108⤵
        System Location Discovery: System Language Discovery
        
        PID:3984
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        108⤵
        Checks processor information in registry
        
        PID:1728
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        109⤵
        
        PID:3548
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        109⤵
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:4976
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        109⤵
        Modifies WinLogon for persistence
        Enumerates system info in registry
        
        PID:2028
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        110⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:436
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        110⤵
        Checks processor information in registry
        
        PID:4608
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        110⤵
        Checks processor information in registry
        
        PID:1064
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        111⤵
        System Location Discovery: System Language Discovery
        
        PID:3124
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        111⤵
        System Location Discovery: System Language Discovery
        
        PID:4740
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        111⤵
        Modifies WinLogon for persistence
        System Location Discovery: System Language Discovery
        
        PID:1324
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        112⤵
        System Location Discovery: System Language Discovery
        
        PID:5012
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        112⤵
        
        PID:2256
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        112⤵
        Checks computer location settings
        Drops file in System32 directory
        
        PID:4380
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        113⤵
        Drops file in System32 directory
        
        PID:1132
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        113⤵
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:3352
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        113⤵
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:3188
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        114⤵
        
        PID:2468
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        114⤵
        Checks processor information in registry
        
        PID:3636
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        114⤵
        Checks BIOS information in registry
        Checks processor information in registry
        
        PID:4892
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        115⤵
        
        PID:4424
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        115⤵
        System Location Discovery: System Language Discovery
        
        PID:1336
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        115⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:3788
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        116⤵
        Adds Run key to start application
        
        PID:3112
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        116⤵
        Checks BIOS information in registry
        
        PID:4060
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        116⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:1956
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        117⤵
        
        PID:4260
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        117⤵
        
        PID:1020
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        117⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:4868
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        118⤵
        Adds Run key to start application
        
        PID:5056
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        118⤵
        
        PID:4436
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        118⤵
        Checks computer location settings
        
        PID:2996
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        119⤵
        
        PID:536
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        119⤵
        
        PID:4572
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        119⤵
        
        PID:316
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        120⤵
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2408
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        120⤵
        
        PID:2308
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        120⤵
        Checks BIOS information in registry
        Checks computer location settings
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:2872
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        121⤵
        System Location Discovery: System Language Discovery
        
        PID:1872
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        121⤵
        Enumerates system info in registry
        
        PID:2792
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        121⤵
        Checks computer location settings
        Enumerates system info in registry
        
        PID:4740
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        122⤵
        
        PID:4208
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        122⤵
        System Location Discovery: System Language Discovery
        
        PID:976
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        122⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Enumerates system info in registry
        
        PID:1184
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        123⤵
        
        PID:1932
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        123⤵
        Checks processor information in registry
        
        PID:4744
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        123⤵
        Modifies WinLogon for persistence
        
        PID:4940
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        124⤵
        
        PID:4196
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        124⤵
        Checks processor information in registry
        
        PID:4344
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        124⤵
        Modifies WinLogon for persistence
        
        PID:4276
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        125⤵
        Drops file in System32 directory
        
        PID:4272
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        125⤵
        
        PID:3188
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        125⤵
        Checks BIOS information in registry
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2360
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        126⤵
        
        PID:1336
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        126⤵
        
        PID:4892
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        126⤵
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:2404
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        127⤵
        
        PID:3576
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        127⤵
        Enumerates system info in registry
        
        PID:1472
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        127⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:3104
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        128⤵
        Drops file in System32 directory
        
        PID:2016
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        128⤵
        
        PID:1956
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        128⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Enumerates system info in registry
        
        PID:5116
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        129⤵
        
        PID:4736
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        129⤵
        Checks BIOS information in registry
        
        PID:3508
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        129⤵
        Checks BIOS information in registry
        Checks computer location settings
        
        PID:536
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        130⤵
        
        PID:4932
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        130⤵
        Checks processor information in registry
        
        PID:1348
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        130⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:2424
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        131⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:3384
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        131⤵
        Checks BIOS information in registry
        Enumerates system info in registry
        
        PID:2088
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        131⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:2496
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        132⤵
        
        PID:1388
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        132⤵
        Enumerates system info in registry
        
        PID:2620
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        132⤵
        Checks computer location settings
        Drops file in System32 directory
        
        PID:1972
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        133⤵
        Adds Run key to start application
        
        PID:2536
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        133⤵
        System Location Discovery: System Language Discovery
        
        PID:1124
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        133⤵
        Modifies WinLogon for persistence
        
        PID:644
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        134⤵
        Adds Run key to start application
        
        PID:3180
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        134⤵
        Enumerates system info in registry
        
        PID:1616
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        134⤵
        Checks computer location settings
        Enumerates system info in registry
        
        PID:1240
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        135⤵
        System Location Discovery: System Language Discovery
        
        PID:4952
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        135⤵
        Checks processor information in registry
        
        PID:1724
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        135⤵
        Checks computer location settings
        Enumerates system info in registry
        
        PID:4940
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        136⤵
        
        PID:3372
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        136⤵
        Checks BIOS information in registry
        Checks processor information in registry
        
        PID:1788
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        136⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:4312
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        137⤵
        
        PID:3488
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        137⤵
        
        PID:2904
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        137⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:2220
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        138⤵
        Drops file in System32 directory
        
        PID:728
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        138⤵
        Checks processor information in registry
        
        PID:4260
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        138⤵
        Adds Run key to start application
        
        PID:4844
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        139⤵
        System Location Discovery: System Language Discovery
        
        PID:2868
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        139⤵
        Checks processor information in registry
        
        PID:3984
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        139⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:2532
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        140⤵
        
        PID:4976
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        140⤵
        Checks BIOS information in registry
        
        PID:4436
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        140⤵
        Checks computer location settings
        System Location Discovery: System Language Discovery
        
        PID:4304
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        141⤵
        
        PID:3912
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        141⤵
        Checks processor information in registry
        
        PID:5016
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        141⤵
        System Location Discovery: System Language Discovery
        
        PID:4248
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        142⤵
        
        PID:2380
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        142⤵
        
        PID:2864
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        142⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2900
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        143⤵
        
        PID:1868
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        143⤵
        Checks processor information in registry
        
        PID:2368
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        143⤵
        
        PID:4824
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        144⤵
        Adds Run key to start application
        
        PID:2392
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        144⤵
        Checks processor information in registry
        
        PID:5004
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        144⤵
        Checks processor information in registry
        
        PID:1468
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        145⤵
        
        PID:1932
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        145⤵
        
        PID:1324
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        145⤵
        
        PID:4560
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        146⤵
        
        PID:3756
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        146⤵
        Checks BIOS information in registry
        
        PID:4404
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        146⤵
        Checks computer location settings
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1276
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        147⤵
        
        PID:2980
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        147⤵
        
        PID:3740
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        147⤵
        Checks computer location settings
        
        PID:4728
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        148⤵
        
        PID:3788
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        148⤵
        
        PID:4892
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        148⤵
        Enumerates system info in registry
        
        PID:4312
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        149⤵
        
        PID:4060
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        149⤵
        
        PID:1896
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        149⤵
        Checks computer location settings
        Drops file in System32 directory
        
        PID:2220
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        150⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        150⤵
        Checks BIOS information in registry
        
        PID:3428
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        150⤵
        Adds Run key to start application
        
        PID:3468
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        151⤵
        Drops file in System32 directory
        
        PID:2364
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        151⤵
        Checks BIOS information in registry
        
        PID:5056
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        151⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:2640
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        152⤵
        System Location Discovery: System Language Discovery
        
        PID:2384
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        152⤵
        Enumerates system info in registry
        
        PID:624
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        152⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Drops file in System32 directory
        
        PID:1348
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        153⤵
        Drops file in System32 directory
        
        PID:316
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        153⤵
        
        PID:4748
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        153⤵
        
        PID:2424
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        154⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        154⤵
        
        PID:2620
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        154⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        155⤵
        
        PID:976
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        155⤵
        
        PID:5024
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        155⤵
        
        PID:1972
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        156⤵
        
        PID:4156
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        156⤵
        
        PID:1616
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        156⤵
        
        PID:4576
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        157⤵
        
        PID:1132
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        157⤵
        
        PID:1724
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        157⤵
        
        PID:3756
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        158⤵
        
        PID:4276
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        158⤵
        
        PID:3372
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        158⤵
        
        PID:3552
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        159⤵
        
        PID:2592
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        159⤵
        
        PID:4508
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        159⤵
        
        PID:4928
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        160⤵
        
        PID:4568
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        160⤵
        
        PID:756
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        160⤵
        
        PID:1884
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        161⤵
        
        PID:4780
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        161⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        161⤵
        
        PID:2940
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        162⤵
        
        PID:3948
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        162⤵
        
        PID:2352
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        162⤵
        
        PID:844
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        163⤵
        
        PID:5016
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        163⤵
        
        PID:4520
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        163⤵
        
        PID:3912
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        164⤵
        
        PID:888
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        164⤵
        
        PID:3612
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        164⤵
        
        PID:4748
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        165⤵
        
        PID:892
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        165⤵
        
        PID:1720
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        165⤵
        
        PID:2872
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        166⤵
        
        PID:3976
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        166⤵
        
        PID:864
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        166⤵
        
        PID:4220
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        167⤵
        
        PID:4496
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        167⤵
        
        PID:1932
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        167⤵
        
        PID:1832
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        168⤵
        
        PID:1644
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        168⤵
        
        PID:448
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        168⤵
        
        PID:4196
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        169⤵
        
        PID:3952
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        169⤵
        
        PID:1704
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        169⤵
        
        PID:4404
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        170⤵
        
        PID:4672
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        170⤵
        
        PID:2360
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        170⤵
        
        PID:1760
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        171⤵
        
        PID:4372
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        171⤵
        
        PID:4120
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        171⤵
        
        PID:4928
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        172⤵
        
        PID:3984
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        172⤵
        
        PID:2892
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        172⤵
        
        PID:1884
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        173⤵
        
        PID:4868
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        173⤵
        
        PID:5056
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        173⤵
        
        PID:2996
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        174⤵
        
        PID:624
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        174⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        174⤵
        
        PID:844
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        175⤵
        
        PID:2088
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        175⤵
        
        PID:4152
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        175⤵
        
        PID:1872
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        176⤵
        
        PID:3024
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        176⤵
        
        PID:5092
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        176⤵
        
        PID:4748
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        177⤵
        
        PID:116
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        177⤵
        
        PID:412
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        177⤵
        
        PID:2872
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        178⤵
        
        PID:644
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        178⤵
        
        PID:1184
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        178⤵
        
        PID:5024
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        179⤵
        
        PID:4808
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        179⤵
        
        PID:1468
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        179⤵
        
        PID:4424
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        180⤵
        
        PID:3188
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        180⤵
        
        PID:1788
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        180⤵
        
        PID:4576
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        181⤵
        
        PID:4584
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        181⤵
        
        PID:4940
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        181⤵
        
        PID:3068
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        182⤵
        
        PID:3412
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        182⤵
        
        PID:3112
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        182⤵
        
        PID:1020
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        183⤵
        
        PID:3308
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        183⤵
        
        PID:3416
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        183⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        184⤵
        
        PID:2932
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        184⤵
        
        PID:2260
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        184⤵
        
        PID:2352
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        185⤵
        
        PID:2376
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        185⤵
        
        PID:3468
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        185⤵
        
        PID:2988
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        186⤵
        
        PID:2640
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        186⤵
        
        PID:3912
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        186⤵
        
        PID:696
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        187⤵
        
        PID:1348
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        187⤵
        
        PID:892
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        187⤵
        
        PID:2424
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        188⤵
        
        PID:2020
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        188⤵
        
        PID:864
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        188⤵
        
        PID:2628
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        189⤵
        
        PID:3824
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        189⤵
        
        PID:3368
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        189⤵
        
        PID:1616
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        190⤵
        
        PID:1324
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        190⤵
        
        PID:2772
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        190⤵
        
        PID:4804
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        191⤵
        
        PID:3668
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        191⤵
        
        PID:2980
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        191⤵
        
        PID:1180
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        192⤵
        
        PID:1940
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        192⤵
        
        PID:3756
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        192⤵
        
        PID:4672
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        193⤵
        
        PID:1896
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        193⤵
        
        PID:1472
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        193⤵
        
        PID:4260
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        194⤵
        
        PID:4780
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        194⤵
        
        PID:2892
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        194⤵
        
        PID:404
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        195⤵
        
        PID:4976
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        195⤵
        
        PID:5056
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        195⤵
        
        PID:4736
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        196⤵
        
        PID:3356
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        196⤵
        
        PID:3136
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        196⤵
        
        PID:4520
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        197⤵
        
        PID:2188
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        197⤵
        
        PID:2380
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        197⤵
        
        PID:3284
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        198⤵
        
        PID:3664
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        198⤵
        
        PID:440
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        198⤵
        
        PID:3024
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        199⤵
        
        PID:3976
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        199⤵
        
        PID:1556
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        199⤵
        
        PID:4756
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        200⤵
        
        PID:4208
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        200⤵
        
        PID:644
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        200⤵
        
        PID:1184
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        201⤵
        
        PID:1036
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        201⤵
        
        PID:1832
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        201⤵
        
        PID:4296
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        202⤵
        
        PID:5012
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        202⤵
        
        PID:1704
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        202⤵
        
        PID:1788
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        203⤵
        
        PID:4892
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        203⤵
        
        PID:4196
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        203⤵
        
        PID:4424
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        204⤵
        
        PID:728
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        204⤵
        
        PID:3552
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        204⤵
        
        PID:4060
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        205⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        205⤵
        
        PID:1436
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        205⤵
        
        PID:3428
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        206⤵
        
        PID:4216
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        206⤵
        
        PID:4436
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        206⤵
        
        PID:2932
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        207⤵
        
        PID:4932
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        207⤵
        
        PID:4240
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        207⤵
        
        PID:3136
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        208⤵
        
        PID:4304
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        208⤵
        
        PID:2308
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        208⤵
        
        PID:2864
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        209⤵
        
        PID:3124
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        209⤵
        
        PID:5092
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        209⤵
        
        PID:1320
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        210⤵
        
        PID:412
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        210⤵
        
        PID:976
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        210⤵
        
        PID:864
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        211⤵
        
        PID:4156
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        211⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        211⤵
        
        PID:3824
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        212⤵
        
        PID:3352
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        212⤵
        
        PID:4380
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        212⤵
        
        PID:1324
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        213⤵
        
        PID:1972
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        213⤵
        
        PID:1132
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        213⤵
        
        PID:3188
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        214⤵
        
        PID:4584
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        214⤵
        
        PID:1336
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        214⤵
        
        PID:2904
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        215⤵
        
        PID:4120
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        215⤵
        
        PID:4272
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        215⤵
        
        PID:1472
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        216⤵
        
        PID:1956
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        216⤵
        
        PID:3576
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        216⤵
        
        PID:2892
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        217⤵
        
        PID:2940
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        217⤵
        
        PID:3916
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        217⤵
        
        PID:4844
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        218⤵
        
        PID:536
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        218⤵
        
        PID:1884
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        218⤵
        
        PID:3588
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        219⤵
        
        PID:3612
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        219⤵
        
        PID:888
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        219⤵
        
        PID:316
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        220⤵
        
        PID:5048
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        220⤵
        
        PID:3852
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        220⤵
        
        PID:1720
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        221⤵
        
        PID:5004
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        221⤵
        
        PID:3976
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        221⤵
        
        PID:2256
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        222⤵
        
        PID:1932
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        222⤵
        
        PID:4784
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        222⤵
        
        PID:4208
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        223⤵
        
        PID:448
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        223⤵
        
        PID:212
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        223⤵
        
        PID:4220
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        224⤵
        
        PID:3624
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        224⤵
        
        PID:3168
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        224⤵
        
        PID:5012
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        225⤵
        
        PID:1940
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        225⤵
        
        PID:4196
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        225⤵
        
        PID:1336
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        226⤵
        
        PID:1544
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        226⤵
        
        PID:756
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        226⤵
        
        PID:728
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        227⤵
        
        PID:2740
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        227⤵
        
        PID:1436
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        227⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        228⤵
        
        PID:2364
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        228⤵
        
        PID:3584
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        228⤵
        
        PID:4216
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        229⤵
        
        PID:404
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        229⤵
        
        PID:4240
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        229⤵
        
        PID:3128
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        230⤵
        
        PID:436
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        230⤵
        
        PID:2732
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        230⤵
        
        PID:888
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        231⤵
        
        PID:3156
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        231⤵
        
        PID:5092
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        231⤵
        
        PID:1868
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        232⤵
        
        PID:1540
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        232⤵
        
        PID:976
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        232⤵
        
        PID:1556
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        233⤵
        
        PID:3180
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        233⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        233⤵
        
        PID:3616
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        234⤵
        
        PID:4824
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        234⤵
        
        PID:4380
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        234⤵
        
        PID:4048
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        235⤵
        
        PID:1184
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        235⤵
        
        PID:1132
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        235⤵
        
        PID:4276
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        236⤵
        
        PID:768
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        236⤵
        
        PID:3488
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        236⤵
        
        PID:2404
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        237⤵
        
        PID:1192
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        237⤵
        
        PID:1180
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        237⤵
        
        PID:3936
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        238⤵
        
        PID:3984
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        238⤵
        
        PID:728
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        238⤵
        
        PID:2940
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        239⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        239⤵
        
        PID:2408
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        239⤵
        
        PID:404
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        240⤵
        
        PID:4216
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        240⤵
        
        PID:3164
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        240⤵
        
        PID:436
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        241⤵
        
        PID:2228
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        241⤵
        
        PID:4624
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        241⤵
        
        PID:548
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        242⤵
        
        PID:2792
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        242⤵
        
        PID:2368
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        242⤵
        
        PID:2536
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        243⤵
        
        PID:1724
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        243⤵
        
        PID:4784
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        243⤵
        
        PID:4972
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        244⤵
        
        PID:4372
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        244⤵
        
        PID:212
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        244⤵
        
        PID:1644
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        245⤵
        
        PID:2212
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        245⤵
        
        PID:1908
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        245⤵
        
        PID:1176
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        246⤵
        
        PID:1132
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        246⤵
        
        PID:3384
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        246⤵
        
        PID:3668
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        247⤵
        
        PID:768
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        247⤵
        
        PID:3740
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        247⤵
        
        PID:4892
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        248⤵
        
        PID:1180
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        248⤵
        
        PID:2404
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        248⤵
        
        PID:3416
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        249⤵
        
        PID:4436
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        249⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        249⤵
        
        PID:536
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        250⤵
        
        PID:2220
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        250⤵
        
        PID:4736
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        250⤵
        
        PID:4844
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        251⤵
        
        PID:2188
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        251⤵
        
        PID:4256
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        251⤵
        
        PID:3124
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        252⤵
        
        PID:3852
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        252⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        252⤵
        
        PID:1124
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        253⤵
        
        PID:892
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        253⤵
        
        PID:1540
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        253⤵
        
        PID:3180
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        254⤵
        
        PID:1868
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        254⤵
        
        PID:4620
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        254⤵
        
        PID:1832
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        255⤵
        
        PID:1556
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        255⤵
        
        PID:4824
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        255⤵
        
        PID:4748
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        256⤵
        
        PID:1616
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        256⤵
        
        PID:1836
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        256⤵
        
        PID:4296
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        257⤵
        
        PID:4680
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        257⤵
        
        PID:1940
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        257⤵
        
        PID:1788
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        258⤵
        
        PID:3488
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        258⤵
        
        PID:5012
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        258⤵
        
        PID:3552
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        259⤵
        
        PID:4604
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        259⤵
        
        PID:4628
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        259⤵
        
        PID:4932
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        260⤵
        
        PID:4880
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        260⤵
        
        PID:4060
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        260⤵
        
        PID:3356
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        261⤵
        
        PID:3976
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        261⤵
        
        PID:2408
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        261⤵
        
        PID:3584
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        262⤵
        
        PID:4520
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        262⤵
        
        PID:3664
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        262⤵
        
        PID:3156
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        263⤵
        
        PID:412
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        263⤵
        
        PID:4928
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        263⤵
        
        PID:2308
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        264⤵
        
        PID:1720
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        264⤵
        
        PID:316
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        264⤵
        
        PID:1348
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        265⤵
        
        PID:4328
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        265⤵
        
        PID:2020
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        265⤵
        
        PID:1064
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        266⤵
        
        PID:448
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        266⤵
        
        PID:3300
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        266⤵
        
        PID:1908
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        267⤵
        
        PID:3624
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        267⤵
        
        PID:3824
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        267⤵
        
        PID:2980
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        268⤵
        
        PID:1176
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        268⤵
        
        PID:4508
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        268⤵
        
        PID:768
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        269⤵
        
        PID:5044
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        269⤵
        
        PID:3940
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        269⤵
        
        PID:3576
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        270⤵
        
        PID:4892
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        270⤵
        
        PID:1192
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        270⤵
        
        PID:4592
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        271⤵
        
        PID:2088
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        271⤵
        
        PID:1472
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        271⤵
        
        PID:4932
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        272⤵
        
        PID:3588
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        272⤵
        
        PID:3428
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        272⤵
        
        PID:3356
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        273⤵
        
        PID:1660
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        273⤵
        
        PID:3748
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        273⤵
        
        PID:3584
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        274⤵
        
        PID:3912
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        274⤵
        
        PID:2988
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        274⤵
        
        PID:1388
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        275⤵
        
        PID:2792
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        275⤵
        
        PID:1724
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        275⤵
        
        PID:1488
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        276⤵
        
        PID:1240
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        276⤵
        
        PID:4252
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        276⤵
        
        PID:212
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        277⤵
        
        PID:4260
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        277⤵
        
        PID:1556
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        277⤵
        
        PID:4904
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        278⤵
        
        PID:1400
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        278⤵
        
        PID:2468
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        278⤵
        
        PID:2212
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        279⤵
        
        PID:3112
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        279⤵
        
        PID:1184
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        279⤵
        
        PID:4272
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        280⤵
        
        PID:4276
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        280⤵
        
        PID:3668
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        280⤵
        
        PID:2944
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        281⤵
        
        PID:3532
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        281⤵
        
        PID:4892
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        281⤵
        
        PID:2940
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        282⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        282⤵
        
        PID:2088
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        282⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        283⤵
        
        PID:3132
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        283⤵
        
        PID:1020
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        283⤵
        
        PID:4624
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        284⤵
        
        PID:5096
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        284⤵
        
        PID:4844
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        284⤵
        
        PID:2620
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        285⤵
        
        PID:5048
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        285⤵
        
        PID:4712
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        285⤵
        
        PID:316
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        286⤵
        
        PID:1872
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        286⤵
        
        PID:1320
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        286⤵
        
        PID:4496
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        287⤵
        
        PID:1868
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        287⤵
        
        PID:4252
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        287⤵
        
        PID:448
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        288⤵
        
        PID:4260
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4260 -s 416
        289⤵
        Program crash
        
        PID:3824
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        288⤵
        
        PID:1468
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        288⤵
        
        PID:2480
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        289⤵
        
        PID:3780
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        289⤵
        
        PID:4940
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        289⤵
        
        PID:5044
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        290⤵
        
        PID:3756
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        290⤵
        
        PID:3636
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        290⤵
        
        PID:4276
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        291⤵
        
        PID:3548
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        291⤵
        
        PID:3416
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        291⤵
        
        PID:4892
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        292⤵
        
        PID:3936
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        292⤵
        
        PID:4592
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        292⤵
        
        PID:1884
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        293⤵
        
        PID:2380
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        293⤵
        
        PID:2932
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        293⤵
        
        PID:3640
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        294⤵
        
        PID:3356
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        294⤵
        
        PID:2188
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        294⤵
        
        PID:3164
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        295⤵
        
        PID:3584
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        295⤵
        
        PID:844
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        295⤵
        
        PID:4448
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        296⤵
        
        PID:4328
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        296⤵
        
        PID:4912
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        296⤵
        
        PID:4380
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        297⤵
        
        PID:2160
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        297⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        297⤵
        
        PID:3300
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        298⤵
        
        PID:4208
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        298⤵
        
        PID:1336
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        298⤵
        
        PID:1908
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        299⤵
        
        PID:4508
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        299⤵
        
        PID:840
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        299⤵
        
        PID:3616
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        300⤵
        
        PID:232
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        300⤵
        
        PID:1436
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        300⤵
        
        PID:3308
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        301⤵
        
        PID:3576
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        301⤵
        
        PID:3068
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        301⤵
        
        PID:3552
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        302⤵
        
        PID:3728
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        302⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        302⤵
        
        PID:2352
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        303⤵
        
        PID:2940
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        303⤵
        
        PID:1400
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        303⤵
        
        PID:4304
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        304⤵
        
        PID:3588
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        304⤵
        
        PID:2088
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        304⤵
        
        PID:404
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        305⤵
        
        PID:2996
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        305⤵
        
        PID:4152
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        305⤵
        
        PID:2620
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        306⤵
        
        PID:2864
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        306⤵
        
        PID:4624
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        306⤵
        
        PID:548
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        307⤵
        
        PID:1724
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        307⤵
        
        PID:2304
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        307⤵
        
        PID:4372
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        308⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        308⤵
        
        PID:4380
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        308⤵
        
        PID:5024
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        309⤵
        
        PID:1336
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        309⤵
        
        PID:3300
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        309⤵
        
        PID:1940
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        310⤵
        
        PID:2480
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        310⤵
        
        PID:1908
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        310⤵
        
        PID:756
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        311⤵
        
        PID:1436
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        311⤵
        
        PID:3616
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        311⤵
        
        PID:1192
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        312⤵
        
        PID:4424
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        312⤵
        
        PID:2384
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        312⤵
        
        PID:944
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        313⤵
        
        PID:220
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        313⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        313⤵
        
        PID:4560
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        314⤵
        
        PID:2640
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        314⤵
        
        PID:1400
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        314⤵
        
        PID:3664
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        315⤵
        
        PID:3132
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        315⤵
        
        PID:4572
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        315⤵
        
        PID:436
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        316⤵
        
        PID:4256
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        316⤵
        
        PID:2228
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        316⤵
        
        PID:2536
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        317⤵
        
        PID:5048
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        317⤵
        
        PID:316
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        317⤵
        
        PID:644
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        318⤵
        
        PID:1724
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        318⤵
        
        PID:1036
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        318⤵
        
        PID:1616
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        319⤵
        
        PID:4496
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        319⤵
        
        PID:3788
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        319⤵
        
        PID:2420
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        320⤵
        
        PID:3104
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        320⤵
        
        PID:2936
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        320⤵
        
        PID:1452
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        321⤵
        
        PID:768
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        321⤵
        
        PID:4728
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        321⤵
        
        PID:2152
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        322⤵
        
        PID:5116
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        322⤵
        
        PID:3616
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        322⤵
        
        PID:1728
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        323⤵
        
        PID:3668
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        323⤵
        
        PID:2384
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        323⤵
        
        PID:3428
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        324⤵
        
        PID:4276
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        324⤵
        
        PID:220
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        324⤵
        
        PID:3468
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        325⤵
        
        PID:5096
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        325⤵
        
        PID:2364
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        325⤵
        
        PID:3128
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        326⤵
        
        PID:3588
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        326⤵
        
        PID:412
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        326⤵
        
        PID:628
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        327⤵
        
        PID:876
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        327⤵
        
        PID:4256
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        327⤵
        
        PID:1572
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        328⤵
        
        PID:212
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        328⤵
        
        PID:1320
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        328⤵
        
        PID:4584
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        329⤵
        
        PID:2304
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        329⤵
        
        PID:1036
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        329⤵
        
        PID:3780
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        330⤵
        
        PID:4972
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        330⤵
        
        PID:4748
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        330⤵
        
        PID:3488
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        331⤵
        
        PID:1336
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        331⤵
        
        PID:2936
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        331⤵
        
        PID:2468
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        332⤵
        
        PID:3824
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        332⤵
        
        PID:4728
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        332⤵
        
        PID:1760
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        333⤵
        
        PID:5116
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        333⤵
        
        PID:4764
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        333⤵
        
        PID:1556
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        334⤵
        
        PID:536
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        334⤵
        
        PID:3728
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        334⤵
        
        PID:3612
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        335⤵
        
        PID:4700
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        335⤵
        
        PID:2088
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        335⤵
        
        PID:4740
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        336⤵
        
        PID:2724
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        336⤵
        
        PID:1432
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        336⤵
        
        PID:1884
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        337⤵
        
        PID:2188
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        337⤵
        
        PID:2996
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        337⤵
        
        PID:876
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        338⤵
        
        PID:3180
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        338⤵
        
        PID:4156
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        338⤵
        
        PID:3164
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        339⤵
        
        PID:4064
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        339⤵
        
        PID:4328
        
        C:\Windows\SysWOW64\dllcache\wincfg.exe
        
        "C:\Windows\system32\dllcache\wincfg.exe"
        339⤵
        
        PID:4448
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        340⤵
        
        PID:1644
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        340⤵
        
        PID:1176

C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\servicing\TrustedInstaller.exe
1⤵
PID:1504

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 4756 -ip 4756
1⤵
PID:3588

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 364 -p 1132 -ip 1132
1⤵
PID:4220

C:\Windows\System32\sihclient.exe
C:\Windows\System32\sihclient.exe /cv uzLC3V9ATUG1/f+y+aQg9Q.0.2
1⤵
PID:4220

C:\Windows\system32\backgroundTaskHost.exe
"C:\Windows\system32\backgroundTaskHost.exe" -ServerName:App.AppXmtcan0h2tfbfy7k9kn8hbxb6dmzz1zh0.mca
1⤵
PID:3748

C:\Windows\winsxs\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.1220_none_7e21bc567c7ed16b\TiWorker.exe
C:\Windows\winsxs\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.19041.1220_none_7e21bc567c7ed16b\TiWorker.exe -Embedding
1⤵
PID:2980

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 484 -p 4260 -ip 4260
1⤵
PID:4196

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\Crypted.exe

Filesize
659KB

MD5
0a3c14650482b827bdef64fdded7d1a9

SHA1
8fe896f18ceaa518851c73642cc5dc2e4cecbc2f

SHA256
f93c0eb2161449b5504c8e5ef4c64c65f9d89e8b242a96ccc4030932c45e7769

SHA512
74bde681bc86243f8eb8210cf4116d4abc1e9ceacd0ede6b3d25e08d0f43487b2c4711a26ad1844c43c5a32f8483fd3fb2d33aec2167d33a7a7c3253d3da89b8

Download Submit
memory/532-1-0x000000001B600000-0x000000001B6A6000-memory.dmp

Filesize
664KB

Download
memory/532-2-0x00007FFD67600000-0x00007FFD67FA1000-memory.dmp

Filesize
9.6MB

Download
memory/532-3-0x000000001BB80000-0x000000001C04E000-memory.dmp

Filesize
4.8MB

Download
memory/532-4-0x000000001C0F0000-0x000000001C18C000-memory.dmp

Filesize
624KB

Download
memory/532-5-0x00007FFD67600000-0x00007FFD67FA1000-memory.dmp

Filesize
9.6MB

Download
memory/532-6-0x0000000000E80000-0x0000000000E88000-memory.dmp

Filesize
32KB

Download
memory/532-7-0x000000001C290000-0x000000001C2DC000-memory.dmp

Filesize
304KB

Download
memory/532-17-0x00007FFD67600000-0x00007FFD67FA1000-memory.dmp

Filesize
9.6MB

Download
memory/532-0-0x00007FFD678B5000-0x00007FFD678B6000-memory.dmp

Filesize
4KB

Download
memory/548-70-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/556-58-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/1340-52-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/1504-34-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/1504-18-0x0000000002230000-0x0000000002231000-memory.dmp

Filesize
4KB

Download
memory/1788-82-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/2092-76-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/2660-29-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/2660-26-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/2660-30-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/2660-31-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/2660-569-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/2660-28-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/2660-25-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/2660-27-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/3168-88-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/3368-40-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/3532-94-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/4048-64-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/4260-100-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download
memory/4400-20-0x0000000000D90000-0x0000000000D91000-memory.dmp

Filesize
4KB

Download
memory/4572-46-0x0000000013140000-0x00000000131F6000-memory.dmp

Filesize
728KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads