darkcomet | d9347e1034921f6be1f6de18b355912010a5bc39b5b3575111bf41c7645258d1

Analysis

max time kernel
25s
max time network
17s
platform
windows7_x64
resource
win7-20240729-en
resource tags

arch:x64arch:x86image:win7-20240729-enlocale:en-usos:windows7-x64system
submitted
04-12-2024 01:47

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Size

758KB
MD5

c03e82a6e39314c54928043841d1ffbb
SHA1

27b8cfb85bab4bafc30e697d1e2550252ae45970
SHA256

d9347e1034921f6be1f6de18b355912010a5bc39b5b3575111bf41c7645258d1
SHA512

1ba89c6b8a4e67027b28151772f4f5d155523bf9a28c9caba3f32b4b0d6670cf5c51fcc1005c02ab9a682c37d8184e1ae0a21ae3431712ea7289af47838274bd
SSDEEP

12288:xXhpvNWw276S/DuoeFcfbmiJ99VPhYR5MTSHvLenELrWv1lZw4JuMkMh/fy452Ux:dnAw2WWeFcfbP9VPSPMTSPL/rWvzq4Jh

Score

10^/10

darkcomet guest16 discovery evasion persistence rat trojan

Malware Config

Extracted

Family

darkcomet

Botnet

Guest16

xoman.no-ip.org:1604

Mutex

DC_MUTEX-F54S21D

Attributes

InstallPath
System32\SysConf.exe
gencode
bdPMrREfdjtV
install
true
offline_keylogger
true
persistence
true
reg_key
SysConf

Signatures

Darkcomet
DarkComet is a remote access trojan (RAT) developed by Jean-Pierre Lesueur.
trojan rat darkcomet
Darkcomet family
darkcomet

Modifies WinLogon for persistence 2 TTPs 64 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe"	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\System32\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe,C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe

Sets file to hidden 1 TTPs 64 IoCs

Modifies file attributes to stop it showing in Explorer etc.

evasion

Hidden Files and Directories

T1564.001

pid	Process
22072	Process not Found
22308	Process not Found
22800	Process not Found
8952	attrib.exe
13964	Process not Found
16264	Process not Found
24864	Process not Found
7980	attrib.exe
8672	attrib.exe
23780	Process not Found
26108	Process not Found
7072	attrib.exe
9540	attrib.exe
12872	Process not Found
10232	attrib.exe
12500	Process not Found
24540	Process not Found
25812	Process not Found
5852	attrib.exe
13068	Process not Found
13232	Process not Found
14884	Process not Found
15568	Process not Found
18548	Process not Found
22268	Process not Found
25588	Process not Found
5664	attrib.exe
5588	attrib.exe
6400	attrib.exe
15912	Process not Found
18260	Process not Found
21792	Process not Found
25124	Process not Found
25428	Process not Found
11660	Process not Found
16200	Process not Found
24312	Process not Found
3260	attrib.exe
20728	Process not Found
332	attrib.exe
6340	attrib.exe
20728	Process not Found
24532	Process not Found
7272	attrib.exe
15008	Process not Found
19828	Process not Found
26908	Process not Found
16492	Process not Found
5372	attrib.exe
14440	Process not Found
8588	attrib.exe
8628	attrib.exe
11420	Process not Found
20000	Process not Found
23052	Process not Found
26172	Process not Found
5792	attrib.exe
6228	attrib.exe
7896	attrib.exe
12872	Process not Found
15948	Process not Found
7664	attrib.exe
8748	attrib.exe
16792	Process not Found

Deletes itself 1 IoCs

pid	Process
2756	notepad.exe

Executes dropped EXE 64 IoCs

pid	Process
2696	SysConf.exe
2724	SysConf.exe
2040	SysConf.exe
2020	SysConf.exe
1516	SysConf.exe
2908	SysConf.exe
2172	SysConf.exe
2188	SysConf.exe
1568	SysConf.exe
2652	SysConf.exe
1532	SysConf.exe
2884	SysConf.exe
2440	SysConf.exe
1696	SysConf.exe
1076	SysConf.exe
2984	SysConf.exe
1604	SysConf.exe
344	SysConf.exe
2108	SysConf.exe
1536	SysConf.exe
1728	SysConf.exe
1744	SysConf.exe
1012	SysConf.exe
1680	SysConf.exe
3148	SysConf.exe
3376	SysConf.exe
3624	SysConf.exe
3860	SysConf.exe
2060	SysConf.exe
3256	SysConf.exe
3460	SysConf.exe
3836	SysConf.exe
344	SysConf.exe
3388	SysConf.exe
3816	SysConf.exe
3132	SysConf.exe
3408	SysConf.exe
4072	SysConf.exe
3280	SysConf.exe
3248	SysConf.exe
3764	SysConf.exe
3428	SysConf.exe
3980	SysConf.exe
3636	SysConf.exe
4196	SysConf.exe
4432	SysConf.exe
4668	SysConf.exe
4904	SysConf.exe
4136	SysConf.exe
4296	SysConf.exe
4660	SysConf.exe
4960	SysConf.exe
3344	SysConf.exe
4524	SysConf.exe
4684	SysConf.exe
3572	SysConf.exe
4744	SysConf.exe
4140	SysConf.exe
4188	SysConf.exe
4420	SysConf.exe
5040	SysConf.exe
3840	SysConf.exe
4308	SysConf.exe
5204	SysConf.exe

Loads dropped DLL 64 IoCs

pid	Process
2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
2696	SysConf.exe
2696	SysConf.exe
2724	SysConf.exe
2724	SysConf.exe
2040	SysConf.exe
2040	SysConf.exe
2020	SysConf.exe
2020	SysConf.exe
1516	SysConf.exe
1516	SysConf.exe
2908	SysConf.exe
2908	SysConf.exe
2172	SysConf.exe
2172	SysConf.exe
2188	SysConf.exe
2188	SysConf.exe
1568	SysConf.exe
1568	SysConf.exe
2652	SysConf.exe
2652	SysConf.exe
1532	SysConf.exe
1532	SysConf.exe
2884	SysConf.exe
2884	SysConf.exe
1696	SysConf.exe
1696	SysConf.exe
1076	SysConf.exe
1076	SysConf.exe
2984	SysConf.exe
2984	SysConf.exe
1604	SysConf.exe
1604	SysConf.exe
344	SysConf.exe
344	SysConf.exe
2108	SysConf.exe
2108	SysConf.exe
1536	SysConf.exe
1536	SysConf.exe
1728	SysConf.exe
1728	SysConf.exe
1744	SysConf.exe
1744	SysConf.exe
1680	SysConf.exe
1680	SysConf.exe
3148	SysConf.exe
3148	SysConf.exe
3376	SysConf.exe
3376	SysConf.exe
3624	SysConf.exe
3624	SysConf.exe
3860	SysConf.exe
3860	SysConf.exe
2060	SysConf.exe
2060	SysConf.exe
3256	SysConf.exe
3256	SysConf.exe
3460	SysConf.exe
3460	SysConf.exe
3836	SysConf.exe
3836	SysConf.exe
344	SysConf.exe
344	SysConf.exe

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\SysConf = "C:\\Windows\\system32\\System32\\bdPMrREfdjtV\\bdPMrREfdjtV\\SysConf.exe"	SysConf.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV	attrib.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\	SysConf.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	attrib.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV	attrib.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV	attrib.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV	attrib.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	attrib.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	attrib.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	attrib.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV	attrib.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\	SysConf.exe
File created	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\SysConf.exe	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV	attrib.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\	SysConf.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\	SysConf.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	SysConf.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	SysConf.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	SysConf.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	SysConf.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	SysConf.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	SysConf.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	SysConf.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	SysConf.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	SysConf.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	SysConf.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	SysConf.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	SysConf.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	SysConf.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeIncreaseQuotaPrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeSecurityPrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeTakeOwnershipPrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeLoadDriverPrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeSystemProfilePrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeSystemtimePrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeProfSingleProcessPrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeIncBasePriorityPrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeCreatePagefilePrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeBackupPrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeRestorePrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeShutdownPrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeDebugPrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeSystemEnvironmentPrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeChangeNotifyPrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeRemoteShutdownPrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeUndockPrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeManageVolumePrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeImpersonatePrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeCreateGlobalPrivilege	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: 33	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: 34	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: 35	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
Token: SeIncreaseQuotaPrivilege	2696	SysConf.exe
Token: SeSecurityPrivilege	2696	SysConf.exe
Token: SeTakeOwnershipPrivilege	2696	SysConf.exe
Token: SeLoadDriverPrivilege	2696	SysConf.exe
Token: SeSystemProfilePrivilege	2696	SysConf.exe
Token: SeSystemtimePrivilege	2696	SysConf.exe
Token: SeProfSingleProcessPrivilege	2696	SysConf.exe
Token: SeIncBasePriorityPrivilege	2696	SysConf.exe
Token: SeCreatePagefilePrivilege	2696	SysConf.exe
Token: SeBackupPrivilege	2696	SysConf.exe
Token: SeRestorePrivilege	2696	SysConf.exe
Token: SeShutdownPrivilege	2696	SysConf.exe
Token: SeDebugPrivilege	2696	SysConf.exe
Token: SeSystemEnvironmentPrivilege	2696	SysConf.exe
Token: SeChangeNotifyPrivilege	2696	SysConf.exe
Token: SeRemoteShutdownPrivilege	2696	SysConf.exe
Token: SeUndockPrivilege	2696	SysConf.exe
Token: SeManageVolumePrivilege	2696	SysConf.exe
Token: SeImpersonatePrivilege	2696	SysConf.exe
Token: SeCreateGlobalPrivilege	2696	SysConf.exe
Token: 33	2696	SysConf.exe
Token: 34	2696	SysConf.exe
Token: 35	2696	SysConf.exe
Token: SeIncreaseQuotaPrivilege	2724	SysConf.exe
Token: SeSecurityPrivilege	2724	SysConf.exe
Token: SeTakeOwnershipPrivilege	2724	SysConf.exe
Token: SeLoadDriverPrivilege	2724	SysConf.exe
Token: SeSystemProfilePrivilege	2724	SysConf.exe
Token: SeSystemtimePrivilege	2724	SysConf.exe
Token: SeProfSingleProcessPrivilege	2724	SysConf.exe
Token: SeIncBasePriorityPrivilege	2724	SysConf.exe
Token: SeCreatePagefilePrivilege	2724	SysConf.exe
Token: SeBackupPrivilege	2724	SysConf.exe
Token: SeRestorePrivilege	2724	SysConf.exe
Token: SeShutdownPrivilege	2724	SysConf.exe
Token: SeDebugPrivilege	2724	SysConf.exe
Token: SeSystemEnvironmentPrivilege	2724	SysConf.exe
Token: SeChangeNotifyPrivilege	2724	SysConf.exe
Token: SeRemoteShutdownPrivilege	2724	SysConf.exe
Token: SeUndockPrivilege	2724	SysConf.exe
Token: SeManageVolumePrivilege	2724	SysConf.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2216 wrote to memory of 2796	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	30
PID 2216 wrote to memory of 2796	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	30
PID 2216 wrote to memory of 2796	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	30
PID 2216 wrote to memory of 2796	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	30
PID 2216 wrote to memory of 2820	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	31
PID 2216 wrote to memory of 2820	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	31
PID 2216 wrote to memory of 2820	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	31
PID 2216 wrote to memory of 2820	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	31
PID 2216 wrote to memory of 2756	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	32
PID 2216 wrote to memory of 2756	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	32
PID 2216 wrote to memory of 2756	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	32
PID 2216 wrote to memory of 2756	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	32
PID 2216 wrote to memory of 2756	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	32
PID 2216 wrote to memory of 2756	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	32
PID 2216 wrote to memory of 2756	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	32
PID 2216 wrote to memory of 2756	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	32
PID 2216 wrote to memory of 2756	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	32
PID 2216 wrote to memory of 2756	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	32
PID 2216 wrote to memory of 2756	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	32
PID 2216 wrote to memory of 2756	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	32
PID 2216 wrote to memory of 2756	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	32
PID 2216 wrote to memory of 2756	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	32
PID 2216 wrote to memory of 2756	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	32
PID 2216 wrote to memory of 2756	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	32
PID 2216 wrote to memory of 2756	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	32
PID 2216 wrote to memory of 2756	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	32
PID 2796 wrote to memory of 2340	2796	cmd.exe	36
PID 2796 wrote to memory of 2340	2796	cmd.exe	36
PID 2796 wrote to memory of 2340	2796	cmd.exe	36
PID 2796 wrote to memory of 2340	2796	cmd.exe	36
PID 2820 wrote to memory of 3040	2820	cmd.exe	35
PID 2820 wrote to memory of 3040	2820	cmd.exe	35
PID 2820 wrote to memory of 3040	2820	cmd.exe	35
PID 2820 wrote to memory of 3040	2820	cmd.exe	35
PID 2216 wrote to memory of 2696	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	37
PID 2216 wrote to memory of 2696	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	37
PID 2216 wrote to memory of 2696	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	37
PID 2216 wrote to memory of 2696	2216	c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe	37
PID 2696 wrote to memory of 2600	2696	SysConf.exe	38
PID 2696 wrote to memory of 2600	2696	SysConf.exe	38
PID 2696 wrote to memory of 2600	2696	SysConf.exe	38
PID 2696 wrote to memory of 2600	2696	SysConf.exe	38
PID 2696 wrote to memory of 1816	2696	SysConf.exe	39
PID 2696 wrote to memory of 1816	2696	SysConf.exe	39
PID 2696 wrote to memory of 1816	2696	SysConf.exe	39
PID 2696 wrote to memory of 1816	2696	SysConf.exe	39
PID 2696 wrote to memory of 2572	2696	SysConf.exe	41
PID 2696 wrote to memory of 2572	2696	SysConf.exe	41
PID 2696 wrote to memory of 2572	2696	SysConf.exe	41
PID 2696 wrote to memory of 2572	2696	SysConf.exe	41
PID 2696 wrote to memory of 2572	2696	SysConf.exe	41
PID 2696 wrote to memory of 2572	2696	SysConf.exe	41
PID 2696 wrote to memory of 2572	2696	SysConf.exe	41
PID 2696 wrote to memory of 2572	2696	SysConf.exe	41
PID 2696 wrote to memory of 2572	2696	SysConf.exe	41
PID 2696 wrote to memory of 2572	2696	SysConf.exe	41
PID 2696 wrote to memory of 2572	2696	SysConf.exe	41
PID 2696 wrote to memory of 2572	2696	SysConf.exe	41
PID 2696 wrote to memory of 2572	2696	SysConf.exe	41
PID 2696 wrote to memory of 2572	2696	SysConf.exe	41
PID 2696 wrote to memory of 2572	2696	SysConf.exe	41
PID 2696 wrote to memory of 2572	2696	SysConf.exe	41
PID 2696 wrote to memory of 2572	2696	SysConf.exe	41
PID 2696 wrote to memory of 2572	2696	SysConf.exe	41

Views/modifies file attributes 1 TTPs 64 IoCs

evasion

Hidden Files and Directories

T1564.001

pid	Process
1868	attrib.exe
5688	attrib.exe
5264	attrib.exe
5596	attrib.exe
6716	attrib.exe
22996	Process not Found
3128	attrib.exe
4188	attrib.exe
13228	Process not Found
17784	Process not Found
26916	Process not Found
11112	Process not Found
15292	Process not Found
4644	attrib.exe
14124	Process not Found
2708	attrib.exe
14432	Process not Found
2640	attrib.exe
6228	attrib.exe
11360	Process not Found
14600	Process not Found
20460	Process not Found
8060	attrib.exe
8596	attrib.exe
13796	Process not Found
25496	Process not Found
3976	attrib.exe
21556	Process not Found
24004	Process not Found
24712	Process not Found
7728	attrib.exe
25464	Process not Found
12860	Process not Found
16200	Process not Found
17184	Process not Found
20824	Process not Found
12856	Process not Found
18104	Process not Found
824	attrib.exe
2604	attrib.exe
14900	Process not Found
2700	attrib.exe
16624	Process not Found
22124	Process not Found
2724	attrib.exe
12452	Process not Found
20032	Process not Found
21388	Process not Found
20740	Process not Found
21236	Process not Found
25836	Process not Found
11724	Process not Found
18996	Process not Found
19128	Process not Found
21600	Process not Found
24824	Process not Found
6940	attrib.exe
6512	attrib.exe
10628	Process not Found
13100	Process not Found
6212	attrib.exe
11804	Process not Found
19828	Process not Found
22900	Process not Found

C:\Users\Admin\AppData\Local\Temp\c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe"
1⤵
- Modifies WinLogon for persistence
- Loads dropped DLL
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:2216
- C:\Windows\SysWOW64\cmd.exe
  "C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp\c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe" +s +h
  2⤵
  - System Location Discovery: System Language Discovery
  - Suspicious use of WriteProcessMemory
  PID:2796
- - C:\Windows\SysWOW64\attrib.exe
    attrib "C:\Users\Admin\AppData\Local\Temp\c03e82a6e39314c54928043841d1ffbb_JaffaCakes118.exe" +s +h
    3⤵
    PID:2340
- C:\Windows\SysWOW64\cmd.exe
  "C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2820
- - C:\Windows\SysWOW64\attrib.exe
    attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
    3⤵
    PID:3040
- C:\Windows\SysWOW64\notepad.exe
  notepad
  2⤵
  - Deletes itself
  PID:2756
- C:\Windows\SysWOW64\System32\SysConf.exe
  "C:\Windows\system32\System32\SysConf.exe"
  2⤵
  - Modifies WinLogon for persistence
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:2696
- - C:\Windows\SysWOW64\cmd.exe
    "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\SysConf.exe" +s +h
    3⤵
    PID:2600
  - - C:\Windows\SysWOW64\attrib.exe
      attrib "C:\Windows\SysWOW64\System32\SysConf.exe" +s +h
      4⤵
      PID:468
- - C:\Windows\SysWOW64\cmd.exe
    "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32" +s +h
    3⤵
    PID:1816
  - - C:\Windows\SysWOW64\attrib.exe
      attrib "C:\Windows\SysWOW64\System32" +s +h
      4⤵
      PID:2136
- - C:\Windows\SysWOW64\notepad.exe
    notepad
    3⤵
    PID:2572
- - C:\Windows\SysWOW64\System32\bdPMrREfdjtV\SysConf.exe
    "C:\Windows\system32\System32\bdPMrREfdjtV\SysConf.exe"
    3⤵
    - Modifies WinLogon for persistence
    - Executes dropped EXE
    - Loads dropped DLL
    - Adds Run key to start application
    - Drops file in System32 directory
    - Suspicious use of AdjustPrivilegeToken
    PID:2724
  - - C:\Windows\SysWOW64\cmd.exe
      "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\SysConf.exe" +s +h
      4⤵
      PID:2360
    - - C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\SysConf.exe" +s +h
        5⤵
        
        PID:2220
  - - C:\Windows\SysWOW64\cmd.exe
      "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV" +s +h
      4⤵
      System Location Discovery: System Language Discovery
      PID:264
    - - C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV" +s +h
        5⤵
        
        PID:2380
  - - C:\Windows\SysWOW64\notepad.exe
      notepad
      4⤵
      PID:1064
  - - C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
      "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Adds Run key to start application
      PID:2040
    - - C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        5⤵
        
        PID:2396
      - C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:1352
    - - C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        5⤵
        
        PID:1376
      - C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        6⤵
        
        PID:1752
    - - C:\Windows\SysWOW64\notepad.exe
        
        notepad
        5⤵
        
        PID:3056
    - - C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        5⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        
        PID:2020
      - C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        6⤵
        
        PID:1692
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        7⤵
        
        PID:1276
      - C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        6⤵
        
        PID:1412
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        7⤵
        Views/modifies file attributes
        
        PID:824
      - C:\Windows\SysWOW64\notepad.exe
        
        notepad
        6⤵
        
        PID:1764
      - C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        6⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1516
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        7⤵
        
        PID:1308
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        8⤵
        
        PID:2340
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        7⤵
        
        PID:2084
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        8⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        7⤵
        
        PID:1036
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        7⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        
        PID:2908
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        8⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        9⤵
        
        PID:2548
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        8⤵
        
        PID:2540
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        9⤵
        
        PID:2148
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        8⤵
        
        PID:1676
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        8⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        
        PID:2172
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        9⤵
        
        PID:2988
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        10⤵
        Drops file in System32 directory
        
        PID:2872
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        9⤵
        
        PID:1068
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        10⤵
        
        PID:2200
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        9⤵
        
        PID:2896
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        9⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2188
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        10⤵
        
        PID:1216
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        11⤵
        
        PID:1508
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        10⤵
        
        PID:1120
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        11⤵
        
        PID:1536
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        10⤵
        
        PID:936
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        10⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:1568
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        11⤵
        
        PID:2476
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        12⤵
        Drops file in System32 directory
        
        PID:1908
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        11⤵
        
        PID:1584
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        12⤵
        
        PID:2668
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        11⤵
        
        PID:2308
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        11⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2652
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        12⤵
        
        PID:2160
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        13⤵
        Views/modifies file attributes
        
        PID:2708
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        12⤵
        
        PID:2980
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        13⤵
        
        PID:2544
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        12⤵
        
        PID:1176
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        12⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        
        PID:1532
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        13⤵
        System Location Discovery: System Language Discovery
        
        PID:2528
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        14⤵
        Drops file in System32 directory
        
        PID:2688
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        13⤵
        
        PID:2680
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        14⤵
        
        PID:1588
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        13⤵
        
        PID:2860
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        13⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2884
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        14⤵
        
        PID:292
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        15⤵
        Views/modifies file attributes
        
        PID:1868
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        14⤵
        
        PID:1968
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        15⤵
        
        PID:2984
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        14⤵
        
        PID:2280
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        14⤵
        Executes dropped EXE
        Adds Run key to start application
        
        PID:2440
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        15⤵
        
        PID:556
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        16⤵
        System Location Discovery: System Language Discovery
        Views/modifies file attributes
        
        PID:2700
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        15⤵
        
        PID:1628
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        16⤵
        
        PID:3064
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        15⤵
        
        PID:660
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        15⤵
        Executes dropped EXE
        Loads dropped DLL
        System Location Discovery: System Language Discovery
        
        PID:1696
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        16⤵
        
        PID:1948
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        17⤵
        
        PID:2524
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        16⤵
        
        PID:2840
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        17⤵
        
        PID:1000
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        16⤵
        
        PID:2808
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        16⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:1076
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        17⤵
        
        PID:2172
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        18⤵
        System Location Discovery: System Language Discovery
        
        PID:2144
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        17⤵
        System Location Discovery: System Language Discovery
        
        PID:2876
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        18⤵
        
        PID:1772
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        17⤵
        System Location Discovery: System Language Discovery
        
        PID:1588
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        17⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        
        PID:2984
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        18⤵
        
        PID:2676
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        19⤵
        Drops file in System32 directory
        
        PID:2824
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        18⤵
        
        PID:1580
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        19⤵
        
        PID:1496
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        18⤵
        
        PID:2788
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        18⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1604
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        19⤵
        
        PID:1884
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        20⤵
        
        PID:304
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        19⤵
        
        PID:2460
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        20⤵
        Views/modifies file attributes
        
        PID:2724
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        19⤵
        
        PID:1768
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        19⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        
        PID:344
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        20⤵
        
        PID:1772
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        21⤵
        Views/modifies file attributes
        
        PID:2604
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        20⤵
        System Location Discovery: System Language Discovery
        
        PID:2056
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        21⤵
        
        PID:2316
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        20⤵
        
        PID:1532
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        20⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        
        PID:2108
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        21⤵
        
        PID:1292
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        22⤵
        
        PID:1680
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        21⤵
        
        PID:1496
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        22⤵
        
        PID:1136
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        21⤵
        
        PID:1028
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        21⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1536
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        22⤵
        
        PID:2120
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        23⤵
        
        PID:2636
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        22⤵
        
        PID:1076
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        23⤵
        
        PID:1528
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        22⤵
        
        PID:2700
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        22⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        
        PID:1728
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        23⤵
        
        PID:872
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        24⤵
        System Location Discovery: System Language Discovery
        
        PID:3048
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        23⤵
        
        PID:1508
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        24⤵
        
        PID:1724
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        23⤵
        
        PID:892
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        23⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1744
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        24⤵
        
        PID:1528
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        25⤵
        System Location Discovery: System Language Discovery
        
        PID:2316
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        24⤵
        
        PID:2524
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        25⤵
        Views/modifies file attributes
        
        PID:2640
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        24⤵
        
        PID:1696
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        24⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        
        PID:1012
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        25⤵
        
        PID:2756
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        26⤵
        Sets file to hidden
        
        PID:332
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        25⤵
        
        PID:1536
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        26⤵
        
        PID:2736
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        25⤵
        
        PID:2748
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        25⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1680
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        26⤵
        
        PID:1448
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        27⤵
        
        PID:3120
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        26⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        27⤵
        Views/modifies file attributes
        
        PID:3128
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        26⤵
        System Location Discovery: System Language Discovery
        
        PID:1924
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        26⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:3148
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        27⤵
        
        PID:3176
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        28⤵
        
        PID:3368
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        27⤵
        
        PID:3184
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        28⤵
        
        PID:3392
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        27⤵
        
        PID:3192
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        27⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        
        PID:3376
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        28⤵
        
        PID:3416
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        29⤵
        Drops file in System32 directory
        
        PID:3608
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        28⤵
        
        PID:3432
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        29⤵
        
        PID:3616
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        28⤵
        System Location Discovery: System Language Discovery
        
        PID:3444
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        28⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        
        PID:3624
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        29⤵
        
        PID:3652
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        30⤵
        
        PID:3844
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        29⤵
        
        PID:3660
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        30⤵
        
        PID:3852
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        29⤵
        System Location Discovery: System Language Discovery
        
        PID:3668
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        29⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:3860
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        30⤵
        
        PID:3888
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        31⤵
        
        PID:4088
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        30⤵
        
        PID:3896
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        31⤵
        
        PID:4076
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        30⤵
        
        PID:3904
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        30⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2060
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        31⤵
        
        PID:2316
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        32⤵
        
        PID:3232
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        31⤵
        
        PID:2640
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        32⤵
        
        PID:3240
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        31⤵
        
        PID:1752
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        31⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        
        PID:3256
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        32⤵
        
        PID:3284
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        33⤵
        
        PID:3536
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        32⤵
        
        PID:3296
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        33⤵
        
        PID:3540
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        32⤵
        
        PID:3304
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        32⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        
        PID:3460
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        33⤵
        
        PID:3608
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        34⤵
        
        PID:3868
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        33⤵
        
        PID:3412
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        34⤵
        
        PID:3640
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        33⤵
        
        PID:3604
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        33⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:3836
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        34⤵
        
        PID:3844
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        35⤵
        
        PID:884
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        34⤵
        
        PID:4044
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        35⤵
        
        PID:304
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        34⤵
        
        PID:3912
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        34⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        
        PID:344
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        35⤵
        
        PID:3080
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        36⤵
        
        PID:3396
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        35⤵
        
        PID:3096
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        36⤵
        
        PID:3368
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        35⤵
        
        PID:3128
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        35⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:3388
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        36⤵
        
        PID:3484
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        37⤵
        Drops file in System32 directory
        
        PID:3764
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        36⤵
        
        PID:3492
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        37⤵
        System Location Discovery: System Language Discovery
        
        PID:3624
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        36⤵
        
        PID:3544
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        36⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:3816
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        37⤵
        
        PID:3648
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        38⤵
        
        PID:884
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        37⤵
        
        PID:3460
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        38⤵
        
        PID:2736
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        37⤵
        
        PID:3944
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        37⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:3132
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        38⤵
        
        PID:3236
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        39⤵
        
        PID:3528
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        38⤵
        
        PID:3240
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        39⤵
        
        PID:3568
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        38⤵
        System Location Discovery: System Language Discovery
        
        PID:2984
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        38⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:3408
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        39⤵
        
        PID:3680
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        40⤵
        
        PID:1656
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        39⤵
        
        PID:3688
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        40⤵
        Drops file in System32 directory
        
        PID:3988
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        39⤵
        System Location Discovery: System Language Discovery
        
        PID:3696
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        39⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:4072
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        40⤵
        
        PID:304
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        41⤵
        Sets file to hidden
        
        PID:3260
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        40⤵
        
        PID:3612
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        41⤵
        
        PID:3160
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        40⤵
        System Location Discovery: System Language Discovery
        
        PID:3868
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        40⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        
        PID:3280
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        41⤵
        
        PID:3380
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        42⤵
        
        PID:1724
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        41⤵
        
        PID:3716
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        42⤵
        
        PID:3136
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        41⤵
        
        PID:3728
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        41⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:3248
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        42⤵
        
        PID:3268
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        43⤵
        System Location Discovery: System Language Discovery
        
        PID:3772
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        42⤵
        
        PID:3316
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        43⤵
        
        PID:3968
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        42⤵
        System Location Discovery: System Language Discovery
        
        PID:3324
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        42⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:3764
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        43⤵
        
        PID:4000
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        44⤵
        
        PID:3260
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        43⤵
        
        PID:4056
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        44⤵
        
        PID:4020
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        43⤵
        
        PID:3712
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        43⤵
        Executes dropped EXE
        Adds Run key to start application
        
        PID:3428
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        44⤵
        
        PID:2768
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        45⤵
        
        PID:3976
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        44⤵
        
        PID:3624
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        45⤵
        
        PID:3952
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        44⤵
        
        PID:3248
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        44⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:3980
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        45⤵
        
        PID:3408
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        46⤵
        
        PID:3368
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        45⤵
        
        PID:3048
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        46⤵
        
        PID:884
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        45⤵
        
        PID:3528
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        45⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:3636
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        46⤵
        
        PID:2708
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        47⤵
        Views/modifies file attributes
        
        PID:4188
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        46⤵
        
        PID:3952
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        47⤵
        
        PID:4180
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        46⤵
        
        PID:3312
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        46⤵
        Executes dropped EXE
        Adds Run key to start application
        
        PID:4196
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        47⤵
        
        PID:4224
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        48⤵
        
        PID:4416
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        47⤵
        
        PID:4232
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        48⤵
        
        PID:4424
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        47⤵
        
        PID:4240
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        47⤵
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:4432
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        48⤵
        
        PID:4460
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        49⤵
        Views/modifies file attributes
        
        PID:4644
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        48⤵
        
        PID:4468
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        49⤵
        
        PID:4656
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        48⤵
        System Location Discovery: System Language Discovery
        
        PID:4476
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        48⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:4668
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        49⤵
        
        PID:4696
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        50⤵
        
        PID:4888
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        49⤵
        
        PID:4704
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        50⤵
        
        PID:4876
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        49⤵
        
        PID:4712
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        49⤵
        Executes dropped EXE
        Adds Run key to start application
        
        PID:4904
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        50⤵
        
        PID:4928
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        51⤵
        
        PID:3044
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        50⤵
        
        PID:4936
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        51⤵
        
        PID:5116
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        50⤵
        
        PID:4944
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        50⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:4136
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        51⤵
        
        PID:4120
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        52⤵
        
        PID:4308
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        51⤵
        
        PID:4112
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        52⤵
        
        PID:4320
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        51⤵
        
        PID:4104
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        51⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:4296
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        52⤵
        
        PID:4340
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        53⤵
        System Location Discovery: System Language Discovery
        
        PID:4608
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        52⤵
        
        PID:4364
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        53⤵
        
        PID:4596
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        52⤵
        
        PID:4428
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        52⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:4660
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        53⤵
        
        PID:4664
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        54⤵
        
        PID:4672
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        53⤵
        System Location Discovery: System Language Discovery
        
        PID:4640
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        54⤵
        
        PID:4972
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        53⤵
        System Location Discovery: System Language Discovery
        
        PID:4680
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        53⤵
        Executes dropped EXE
        
        PID:4960
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        54⤵
        
        PID:5004
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        55⤵
        
        PID:3368
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        54⤵
        System Location Discovery: System Language Discovery
        
        PID:5012
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        55⤵
        
        PID:3764
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        54⤵
        
        PID:5028
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        54⤵
        Executes dropped EXE
        
        PID:3344
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        55⤵
        
        PID:4176
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        56⤵
        
        PID:4504
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        55⤵
        System Location Discovery: System Language Discovery
        
        PID:332
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        56⤵
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:4492
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        55⤵
        
        PID:3168
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        55⤵
        Executes dropped EXE
        Adds Run key to start application
        
        PID:4524
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        56⤵
        
        PID:4552
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        57⤵
        
        PID:4980
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        56⤵
        
        PID:4656
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        57⤵
        
        PID:4972
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        56⤵
        
        PID:4580
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        56⤵
        Executes dropped EXE
        Adds Run key to start application
        
        PID:4684
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        57⤵
        
        PID:4652
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        58⤵
        
        PID:1724
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        57⤵
        
        PID:5080
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        58⤵
        
        PID:884
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        57⤵
        
        PID:5104
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        57⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:3572
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        58⤵
        
        PID:4264
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        59⤵
        
        PID:4456
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        58⤵
        
        PID:4124
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        59⤵
        
        PID:4728
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        58⤵
        
        PID:3980
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        58⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:4744
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        59⤵
        
        PID:4764
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        60⤵
        Views/modifies file attributes
        
        PID:3976
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        59⤵
        
        PID:4772
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        60⤵
        
        PID:4924
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        59⤵
        
        PID:4784
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        59⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:4140
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        60⤵
        System Location Discovery: System Language Discovery
        
        PID:4408
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        61⤵
        System Location Discovery: System Language Discovery
        
        PID:4292
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        60⤵
        
        PID:4964
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        61⤵
        
        PID:4740
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        60⤵
        
        PID:4968
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        60⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:4188
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        61⤵
        
        PID:4800
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        62⤵
        
        PID:4648
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        61⤵
        
        PID:4888
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        62⤵
        
        PID:4288
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        61⤵
        
        PID:4488
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        61⤵
        Executes dropped EXE
        Adds Run key to start application
        
        PID:4420
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        62⤵
        
        PID:4500
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        63⤵
        
        PID:5068
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        62⤵
        
        PID:4184
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        63⤵
        
        PID:3840
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        62⤵
        
        PID:4256
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        62⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:5040
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        63⤵
        
        PID:5112
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        64⤵
        
        PID:4816
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        63⤵
        
        PID:3968
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        64⤵
        
        PID:5068
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        63⤵
        
        PID:4648
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        63⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:3840
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        64⤵
        
        PID:5052
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        65⤵
        System Location Discovery: System Language Discovery
        
        PID:5036
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        64⤵
        
        PID:4420
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        65⤵
        
        PID:5044
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        64⤵
        
        PID:4740
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        64⤵
        Executes dropped EXE
        Adds Run key to start application
        
        PID:4308
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        65⤵
        
        PID:4844
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        66⤵
        
        PID:5192
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        65⤵
        System Location Discovery: System Language Discovery
        
        PID:4416
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        66⤵
        System Location Discovery: System Language Discovery
        
        PID:5172
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        65⤵
        
        PID:4536
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        65⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:5204
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        66⤵
        System Location Discovery: System Language Discovery
        
        PID:5232
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        67⤵
        
        PID:5448
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        66⤵
        
        PID:5240
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        67⤵
        
        PID:5404
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        66⤵
        
        PID:5248
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        66⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:5432
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        67⤵
        System Location Discovery: System Language Discovery
        
        PID:5476
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        68⤵
        Views/modifies file attributes
        
        PID:5688
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        67⤵
        
        PID:5484
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        68⤵
        Sets file to hidden
        
        PID:5664
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        67⤵
        System Location Discovery: System Language Discovery
        
        PID:5500
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        67⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:5672
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        68⤵
        
        PID:5712
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        69⤵
        
        PID:5900
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        68⤵
        
        PID:5728
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        69⤵
        
        PID:5908
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        68⤵
        
        PID:5740
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        68⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:5916
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        69⤵
        
        PID:5944
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        70⤵
        
        PID:6124
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        69⤵
        
        PID:5952
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        70⤵
        
        PID:6132
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        69⤵
        
        PID:5960
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        69⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:4456
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        70⤵
        
        PID:3840
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        71⤵
        
        PID:5280
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        70⤵
        
        PID:3572
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        71⤵
        Views/modifies file attributes
        
        PID:5264
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        70⤵
        
        PID:4960
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        70⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:5292
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        71⤵
        
        PID:5316
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        72⤵
        Drops file in System32 directory
        
        PID:5588
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        71⤵
        
        PID:5340
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        72⤵
        Views/modifies file attributes
        
        PID:5596
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        71⤵
        
        PID:5348
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        71⤵
        
        PID:5604
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        72⤵
        
        PID:5668
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        73⤵
        
        PID:5856
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        72⤵
        
        PID:5652
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        73⤵
        Drops file in System32 directory
        
        PID:5872
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        72⤵
        
        PID:5680
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        72⤵
        
        PID:5708
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        73⤵
        System Location Discovery: System Language Discovery
        
        PID:5900
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        74⤵
        Drops file in System32 directory
        
        PID:6140
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        73⤵
        
        PID:5928
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        74⤵
        
        PID:5940
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        73⤵
        
        PID:5972
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        73⤵
        Adds Run key to start application
        
        PID:4292
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        74⤵
        
        PID:4924
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        75⤵
        
        PID:5520
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        74⤵
        
        PID:4816
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        75⤵
        
        PID:5528
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        74⤵
        
        PID:5072
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        74⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:5452
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        75⤵
        
        PID:5228
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        76⤵
        
        PID:5780
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        75⤵
        
        PID:5220
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        76⤵
        Sets file to hidden
        System Location Discovery: System Language Discovery
        
        PID:5792
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        75⤵
        
        PID:5428
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        75⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:5808
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        76⤵
        
        PID:5872
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        77⤵
        
        PID:4320
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        76⤵
        
        PID:5636
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        77⤵
        
        PID:5932
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        76⤵
        
        PID:5620
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        76⤵
        Modifies WinLogon for persistence
        
        PID:5920
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        77⤵
        
        PID:5036
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        78⤵
        Sets file to hidden
        Drops file in System32 directory
        
        PID:5588
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        77⤵
        
        PID:4308
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        78⤵
        
        PID:5364
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        77⤵
        
        PID:5176
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        77⤵
        
        PID:5320
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        78⤵
        
        PID:5568
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        79⤵
        Sets file to hidden
        
        PID:5852
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        78⤵
        
        PID:5292
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        79⤵
        
        PID:6008
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        78⤵
        
        PID:5596
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        78⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:6024
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        79⤵
        
        PID:6044
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        80⤵
        Drops file in System32 directory
        
        PID:5444
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        79⤵
        
        PID:6052
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        80⤵
        
        PID:4140
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        79⤵
        
        PID:5884
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        79⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:5404
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        80⤵
        
        PID:4208
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        81⤵
        Drops file in System32 directory
        
        PID:5460
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        80⤵
        
        PID:5920
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        81⤵
        Drops file in System32 directory
        
        PID:5576
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        80⤵
        
        PID:5612
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        80⤵
        Adds Run key to start application
        
        PID:5996
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        81⤵
        
        PID:5916
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        82⤵
        
        PID:5684
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        81⤵
        
        PID:5708
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        82⤵
        
        PID:6012
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        81⤵
        
        PID:3208
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        81⤵
        
        PID:5804
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        82⤵
        
        PID:5800
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        83⤵
        
        PID:5088
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        82⤵
        
        PID:5452
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        83⤵
        Sets file to hidden
        
        PID:5372
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        82⤵
        
        PID:5780
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        82⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:6028
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        83⤵
        
        PID:5808
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        84⤵
        
        PID:5776
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        83⤵
        System Location Discovery: System Language Discovery
        
        PID:5724
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        84⤵
        
        PID:5424
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        83⤵
        
        PID:5588
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        83⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:5792
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        84⤵
        System Location Discovery: System Language Discovery
        
        PID:5204
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        85⤵
        
        PID:5212
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        84⤵
        
        PID:5628
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        85⤵
        
        PID:5208
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        84⤵
        
        PID:6140
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        84⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:4592
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        85⤵
        
        PID:5976
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        86⤵
        Views/modifies file attributes
        
        PID:6228
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        85⤵
        
        PID:5460
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        86⤵
        
        PID:6216
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        85⤵
        
        PID:4192
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        85⤵
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:6204
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        86⤵
        
        PID:6248
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        87⤵
        
        PID:6428
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        86⤵
        
        PID:6256
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        87⤵
        
        PID:6436
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        86⤵
        
        PID:6272
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        86⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:6456
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        87⤵
        
        PID:6484
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        88⤵
        
        PID:6664
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        87⤵
        
        PID:6492
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        88⤵
        System Location Discovery: System Language Discovery
        
        PID:6704
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        87⤵
        
        PID:6500
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        87⤵
        Drops file in System32 directory
        
        PID:6688
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        88⤵
        
        PID:6732
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        89⤵
        
        PID:6908
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        88⤵
        
        PID:6748
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        89⤵
        
        PID:6944
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        88⤵
        
        PID:6756
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        88⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:6928
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        89⤵
        
        PID:6972
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        90⤵
        
        PID:7140
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        89⤵
        
        PID:6988
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        90⤵
        
        PID:1544
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        89⤵
        
        PID:7000
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        89⤵
        Modifies WinLogon for persistence
        
        PID:5456
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        90⤵
        
        PID:5896
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        91⤵
        
        PID:6332
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        90⤵
        
        PID:5320
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        91⤵
        Sets file to hidden
        
        PID:6340
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        90⤵
        System Location Discovery: System Language Discovery
        
        PID:5420
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        90⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:6348
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        91⤵
        
        PID:6380
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        92⤵
        
        PID:6608
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        91⤵
        
        PID:6384
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        92⤵
        
        PID:6868
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        91⤵
        
        PID:6396
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        91⤵
        Modifies WinLogon for persistence
        
        PID:6600
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        92⤵
        
        PID:6652
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        93⤵
        
        PID:6952
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        92⤵
        
        PID:6684
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        93⤵
        Views/modifies file attributes
        
        PID:6940
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        92⤵
        
        PID:6476
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        92⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:6692
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        93⤵
        
        PID:6984
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        94⤵
        
        PID:6152
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        93⤵
        
        PID:7012
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        94⤵
        Views/modifies file attributes
        
        PID:6212
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        93⤵
        
        PID:7020
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        93⤵
        Adds Run key to start application
        
        PID:5264
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        94⤵
        
        PID:6200
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        95⤵
        Views/modifies file attributes
        
        PID:6512
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        94⤵
        
        PID:6004
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        95⤵
        
        PID:6444
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        94⤵
        System Location Discovery: System Language Discovery
        
        PID:6176
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        94⤵
        Modifies WinLogon for persistence
        System Location Discovery: System Language Discovery
        
        PID:6440
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        95⤵
        
        PID:6552
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        96⤵
        
        PID:6856
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        95⤵
        
        PID:6572
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        96⤵
        
        PID:6884
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        95⤵
        
        PID:6360
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        95⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:6892
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        96⤵
        
        PID:6604
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        97⤵
        Sets file to hidden
        
        PID:6228
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        96⤵
        
        PID:6900
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        97⤵
        Drops file in System32 directory
        
        PID:6224
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        96⤵
        
        PID:7032
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        96⤵
        Modifies WinLogon for persistence
        
        PID:5212
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        97⤵
        
        PID:6268
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        98⤵
        
        PID:6768
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        97⤵
        System Location Discovery: System Language Discovery
        
        PID:6296
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        98⤵
        
        PID:6612
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        97⤵
        
        PID:5304
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        97⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:6608
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        98⤵
        
        PID:6780
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        99⤵
        
        PID:7124
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        98⤵
        System Location Discovery: System Language Discovery
        
        PID:6796
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        99⤵
        
        PID:6964
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        98⤵
        
        PID:6804
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        98⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:6948
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        99⤵
        
        PID:6696
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        100⤵
        
        PID:6460
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        99⤵
        
        PID:6936
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        100⤵
        
        PID:6612
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        99⤵
        
        PID:6172
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        99⤵
        Modifies WinLogon for persistence
        System Location Discovery: System Language Discovery
        
        PID:6352
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        100⤵
        
        PID:6828
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        101⤵
        System Location Discovery: System Language Discovery
        
        PID:6448
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        100⤵
        
        PID:6640
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        101⤵
        
        PID:6356
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        100⤵
        
        PID:6540
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        100⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:5804
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        101⤵
        
        PID:6012
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        102⤵
        
        PID:7068
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        101⤵
        
        PID:5684
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        102⤵
        System Location Discovery: System Language Discovery
        
        PID:7076
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        101⤵
        
        PID:6364
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        101⤵
        Modifies WinLogon for persistence
        
        PID:6820
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        102⤵
        
        PID:6700
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        103⤵
        
        PID:7068
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        102⤵
        
        PID:6776
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        103⤵
        
        PID:6716
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        102⤵
        
        PID:6856
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        102⤵
        Adds Run key to start application
        
        PID:6152
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        103⤵
        
        PID:7116
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        104⤵
        
        PID:6440
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        103⤵
        System Location Discovery: System Language Discovery
        
        PID:6884
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        104⤵
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:6716
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        103⤵
        
        PID:6228
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        103⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:6612
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        104⤵
        
        PID:7156
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        105⤵
        
        PID:6432
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        104⤵
        
        PID:6772
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        105⤵
        
        PID:6508
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        104⤵
        
        PID:6592
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        104⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:6224
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        105⤵
        
        PID:5212
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        106⤵
        
        PID:7284
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        105⤵
        
        PID:6440
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        106⤵
        
        PID:7276
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        105⤵
        
        PID:6716
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        105⤵
        Adds Run key to start application
        
        PID:7256
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        106⤵
        
        PID:7308
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        107⤵
        
        PID:7512
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        106⤵
        
        PID:7316
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        107⤵
        System Location Discovery: System Language Discovery
        
        PID:7528
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        106⤵
        
        PID:7324
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        106⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:7496
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        107⤵
        
        PID:7540
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        108⤵
        Views/modifies file attributes
        
        PID:7728
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        107⤵
        System Location Discovery: System Language Discovery
        
        PID:7556
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        108⤵
        
        PID:7756
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        107⤵
        
        PID:7564
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        107⤵
        Adds Run key to start application
        
        PID:7740
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        108⤵
        
        PID:7784
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        109⤵
        
        PID:7972
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        108⤵
        
        PID:7800
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        109⤵
        Sets file to hidden
        
        PID:7980
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        108⤵
        
        PID:7816
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        108⤵
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:7988
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        109⤵
        
        PID:8016
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        110⤵
        
        PID:7076
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        109⤵
        
        PID:8024
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        110⤵
        System Location Discovery: System Language Discovery
        
        PID:6536
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        109⤵
        
        PID:8040
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        109⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:7072
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        110⤵
        
        PID:6612
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        111⤵
        Drops file in System32 directory
        
        PID:7396
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        110⤵
        System Location Discovery: System Language Discovery
        
        PID:7172
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        111⤵
        
        PID:7424
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        110⤵
        
        PID:7180
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        110⤵
        
        PID:7408
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        111⤵
        
        PID:7456
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        112⤵
        
        PID:7688
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        111⤵
        
        PID:7476
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        112⤵
        
        PID:7712
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        111⤵
        
        PID:7292
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        111⤵
        
        PID:7716
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        112⤵
        
        PID:7728
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        113⤵
        
        PID:8056
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        112⤵
        
        PID:7756
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        113⤵
        
        PID:7768
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        112⤵
        
        PID:7828
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        112⤵
        
        PID:8000
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        113⤵
        
        PID:8092
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        114⤵
        
        PID:5208
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        113⤵
        
        PID:8100
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        114⤵
        Sets file to hidden
        
        PID:6400
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        113⤵
        
        PID:8116
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        113⤵
        
        PID:7276
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        114⤵
        
        PID:7336
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        115⤵
        
        PID:7636
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        114⤵
        
        PID:7344
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        115⤵
        Sets file to hidden
        
        PID:7664
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        114⤵
        
        PID:7372
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        114⤵
        
        PID:7644
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        115⤵
        
        PID:7668
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        116⤵
        
        PID:7536
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        115⤵
        
        PID:7552
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        116⤵
        Views/modifies file attributes
        
        PID:8060
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        115⤵
        
        PID:7500
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        115⤵
        
        PID:7996
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        116⤵
        
        PID:8144
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        117⤵
        Sets file to hidden
        
        PID:7072
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        116⤵
        
        PID:8168
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        117⤵
        
        PID:7424
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        116⤵
        
        PID:8136
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        116⤵
        
        PID:7420
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        117⤵
        
        PID:7512
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        118⤵
        
        PID:7924
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        117⤵
        
        PID:7384
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        118⤵
        Sets file to hidden
        
        PID:7896
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        117⤵
        
        PID:6168
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        117⤵
        
        PID:7904
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        118⤵
        
        PID:7972
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        119⤵
        
        PID:7220
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        118⤵
        
        PID:7752
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        119⤵
        
        PID:8048
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        118⤵
        
        PID:7440
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        118⤵
        
        PID:7068
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        119⤵
        
        PID:8140
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        120⤵
        
        PID:7924
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        119⤵
        
        PID:7364
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        120⤵
        
        PID:7628
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        119⤵
        
        PID:7592
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        119⤵
        
        PID:7900
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        120⤵
        
        PID:7536
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        121⤵
        
        PID:7884
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        120⤵
        
        PID:8068
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        121⤵
        
        PID:7100
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        120⤵
        
        PID:6152
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        120⤵
        
        PID:7640
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        121⤵
        
        PID:7132
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        122⤵
        
        PID:8072
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        121⤵
        
        PID:7224
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        122⤵
        
        PID:7228
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        121⤵
        
        PID:7856
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        121⤵
        
        PID:7984
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        122⤵
        
        PID:7436
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        123⤵
        
        PID:6240
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        122⤵
        
        PID:7732
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        123⤵
        
        PID:7980
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        122⤵
        
        PID:7276
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        122⤵
        
        PID:7192
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        123⤵
        
        PID:7944
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        124⤵
        
        PID:7932
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        123⤵
        
        PID:7332
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        124⤵
        
        PID:7260
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        123⤵
        
        PID:7844
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        123⤵
        
        PID:7588
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        124⤵
        
        PID:7068
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        125⤵
        
        PID:8228
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        124⤵
        
        PID:7924
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        125⤵
        
        PID:8264
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        124⤵
        
        PID:7644
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        124⤵
        
        PID:8256
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        125⤵
        
        PID:8300
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        126⤵
        
        PID:8520
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        125⤵
        
        PID:8308
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        126⤵
        
        PID:8484
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        125⤵
        
        PID:8324
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        125⤵
        
        PID:8496
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        126⤵
        
        PID:8532
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        127⤵
        
        PID:8752
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        126⤵
        
        PID:8540
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        127⤵
        
        PID:8728
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        126⤵
        
        PID:8556
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        126⤵
        
        PID:8736
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        127⤵
        
        PID:8780
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        128⤵
        Sets file to hidden
        
        PID:8952
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        127⤵
        
        PID:8796
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        128⤵
        
        PID:8988
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        127⤵
        
        PID:8804
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        127⤵
        
        PID:8980
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        128⤵
        
        PID:9024
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        129⤵
        
        PID:9212
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        128⤵
        
        PID:9040
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        129⤵
        
        PID:7144
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        128⤵
        
        PID:9048
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        128⤵
        
        PID:7584
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        129⤵
        
        PID:7920
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        130⤵
        
        PID:8420
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        129⤵
        
        PID:8180
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        130⤵
        
        PID:8380
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        129⤵
        
        PID:8208
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        129⤵
        
        PID:8384
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        130⤵
        
        PID:8432
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        131⤵
        Sets file to hidden
        
        PID:8672
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        130⤵
        
        PID:8440
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        131⤵
        
        PID:8680
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        130⤵
        
        PID:8320
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        130⤵
        
        PID:8688
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        131⤵
        
        PID:8564
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        132⤵
        
        PID:8776
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        131⤵
        
        PID:8576
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        132⤵
        
        PID:8960
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        131⤵
        
        PID:8516
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        131⤵
        
        PID:8996
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        132⤵
        
        PID:9072
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        133⤵
        
        PID:7144
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        132⤵
        
        PID:9088
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        133⤵
        
        PID:8232
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        132⤵
        
        PID:9096
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        132⤵
        
        PID:8196
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        133⤵
        
        PID:8052
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        134⤵
        Sets file to hidden
        
        PID:8588
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        133⤵
        
        PID:6720
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        134⤵
        Views/modifies file attributes
        
        PID:8596
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        133⤵
        
        PID:7468
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        133⤵
        
        PID:8604
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        134⤵
        
        PID:8632
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        135⤵
        
        PID:8920
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        134⤵
        
        PID:8456
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        135⤵
        
        PID:9016
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        134⤵
        
        PID:8684
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        134⤵
        
        PID:8832
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        135⤵
        
        PID:8744
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        136⤵
        
        PID:9204
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        135⤵
        
        PID:8696
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        136⤵
        
        PID:7260
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        135⤵
        
        PID:8968
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        135⤵
        
        PID:7992
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        136⤵
        
        PID:7532
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        137⤵
        
        PID:8672
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        136⤵
        
        PID:8236
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        137⤵
        
        PID:8728
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        136⤵
        
        PID:8268
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        136⤵
        
        PID:8392
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        137⤵
        
        PID:8872
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        138⤵
        
        PID:9180
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        137⤵
        
        PID:8888
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        138⤵
        
        PID:8948
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        137⤵
        
        PID:8908
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        137⤵
        
        PID:9060
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        138⤵
        
        PID:8992
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        139⤵
        
        PID:7576
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        138⤵
        
        PID:8572
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        139⤵
        
        PID:9212
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        138⤵
        
        PID:8836
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        138⤵
        
        PID:7936
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        139⤵
        
        PID:8500
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        140⤵
        
        PID:7916
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        139⤵
        
        PID:8728
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        140⤵
        
        PID:8348
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        139⤵
        
        PID:8428
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        139⤵
        
        PID:8356
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        140⤵
        
        PID:8380
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        141⤵
        
        PID:8920
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        140⤵
        
        PID:8504
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        141⤵
        
        PID:9116
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        140⤵
        
        PID:8468
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        140⤵
        
        PID:9084
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        141⤵
        
        PID:9180
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        142⤵
        Sets file to hidden
        
        PID:8628
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        141⤵
        
        PID:9212
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        142⤵
        
        PID:8856
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        141⤵
        
        PID:6240
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        141⤵
        
        PID:8920
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        142⤵
        
        PID:7912
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        143⤵
        
        PID:9128
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        142⤵
        
        PID:8864
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        143⤵
        
        PID:8948
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        142⤵
        
        PID:8376
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        142⤵
        
        PID:9140
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        143⤵
        
        PID:8700
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        144⤵
        
        PID:8600
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        143⤵
        
        PID:7408
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        144⤵
        
        PID:8196
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        143⤵
        
        PID:8484
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        143⤵
        
        PID:8664
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        144⤵
        
        PID:8916
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        145⤵
        
        PID:9344
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        144⤵
        
        PID:8388
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        145⤵
        
        PID:9308
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        144⤵
        
        PID:9112
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        144⤵
        
        PID:9276
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        145⤵
        
        PID:9324
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        146⤵
        Sets file to hidden
        
        PID:9540
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        145⤵
        
        PID:9336
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        146⤵
        
        PID:9552
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        145⤵
        
        PID:9352
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        145⤵
        
        PID:9528
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        146⤵
        
        PID:9572
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        147⤵
        
        PID:9760
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        146⤵
        
        PID:9580
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        147⤵
        
        PID:9788
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        146⤵
        
        PID:9588
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        146⤵
        
        PID:9772
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        147⤵
        
        PID:9816
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        148⤵
        
        PID:10012
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        147⤵
        
        PID:9824
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        148⤵
        
        PID:10036
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        147⤵
        
        PID:9840
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        147⤵
        
        PID:10004
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        148⤵
        
        PID:10048
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        149⤵
        Sets file to hidden
        
        PID:8748
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        148⤵
        
        PID:10056
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        149⤵
        
        PID:10224
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        148⤵
        
        PID:10064
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        148⤵
        
        PID:9132
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        149⤵
        
        PID:7072
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        150⤵
        
        PID:9436
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        149⤵
        
        PID:9116
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        150⤵
        
        PID:9428
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        149⤵
        
        PID:8628
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        149⤵
        
        PID:9444
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        150⤵
        
        PID:9476
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        151⤵
        
        PID:9560
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        150⤵
        
        PID:9344
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        151⤵
        
        PID:9728
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        150⤵
        
        PID:9484
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        150⤵
        
        PID:9708
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        151⤵
        
        PID:9740
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        152⤵
        
        PID:10024
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        151⤵
        
        PID:9528
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        152⤵
        
        PID:10012
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        151⤵
        
        PID:9792
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        151⤵
        
        PID:10016
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        152⤵
        
        PID:10104
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        153⤵
        
        PID:9124
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        152⤵
        
        PID:10112
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        153⤵
        
        PID:9232
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        152⤵
        
        PID:10128
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        152⤵
        
        PID:9252
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        153⤵
        
        PID:8920
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        154⤵
        
        PID:9624
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        153⤵
        
        PID:9368
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        154⤵
        
        PID:9660
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        153⤵
        
        PID:9224
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        153⤵
        
        PID:9636
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        154⤵
        
        PID:9700
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        155⤵
        
        PID:10020
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        154⤵
        
        PID:9448
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        155⤵
        
        PID:10024
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        154⤵
        
        PID:9464
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        154⤵
        
        PID:9748
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        155⤵
        
        PID:10140
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        156⤵
        
        PID:9432
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        155⤵
        
        PID:10160
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        156⤵
        
        PID:9412
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        155⤵
        
        PID:10168
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        155⤵
        
        PID:9544
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        156⤵
        
        PID:6284
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        157⤵
        
        PID:9880
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        156⤵
        
        PID:9436
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        157⤵
        
        PID:9916
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        156⤵
        
        PID:9496
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        156⤵
        
        PID:9900
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        157⤵
        
        PID:9948
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        158⤵
        
        PID:10096
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        157⤵
        
        PID:10020
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        158⤵
        
        PID:9516
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        157⤵
        
        PID:9720
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        157⤵
        
        PID:10092
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        158⤵
        
        PID:9568
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        159⤵
        
        PID:9772
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        158⤵
        
        PID:9256
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        159⤵
        
        PID:9884
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        158⤵
        
        PID:9456
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        158⤵
        
        PID:9544
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        159⤵
        
        PID:10024
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        160⤵
        
        PID:9264
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        159⤵
        
        PID:10176
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        160⤵
        Sets file to hidden
        
        PID:7272
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        159⤵
        
        PID:10236
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        159⤵
        
        PID:9616
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        160⤵
        
        PID:9660
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        161⤵
        
        PID:10096
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        160⤵
        
        PID:9684
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        161⤵
        Sets file to hidden
        
        PID:10232
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        160⤵
        
        PID:9468
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        160⤵
        
        PID:9420
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        161⤵
        
        PID:10004
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        162⤵
        
        PID:10008
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        161⤵
        
        PID:9696
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        162⤵
        
        PID:9944
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        161⤵
        
        PID:9992
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        161⤵
        
        PID:9220
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        162⤵
        
        PID:9668
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        163⤵
        
        PID:9912
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        162⤵
        
        PID:9268
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        163⤵
        
        PID:9312
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        162⤵
        
        PID:8592
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        162⤵
        
        PID:912
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        163⤵
        
        PID:9604
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        164⤵
        
        PID:10312
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        163⤵
        
        PID:9676
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        164⤵
        
        PID:10320
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        163⤵
        
        PID:9648
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        163⤵
        
        PID:10284
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        164⤵
        
        PID:10332
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        165⤵
        
        PID:10524
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        164⤵
        
        PID:10344
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        165⤵
        
        PID:10532
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        164⤵
        
        PID:10360
        
        C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe
        
        "C:\Windows\system32\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe"
        164⤵
        
        PID:10540
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV\SysConf.exe" +s +h
        165⤵
        
        PID:10568
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\System32\bdPMrREfdjtV\bdPMrREfdjtV" +s +h
        165⤵
        
        PID:10576

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "2019841449-157700611434301755-6577507881873366092-793386422-791591172-891434018"
1⤵
PID:2544

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1182448493-12209261447343618948450177431854761831-142684699914843825631827352156"
1⤵
PID:2440

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-965386560-57067362-182646480713948283351838165019-728935622-870280928-119837070"
1⤵
PID:3064

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-53056249532359254245297671-408850554-1338122718314718149-779857014-1846829142"
1⤵
PID:1516

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1070675797-178451716319182463372034418203-2063172397-43569874454201061-431659579"
1⤵
PID:1276

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-2957350568351049291170328283-8864099323862614697028209822074410458-2140535474"
1⤵
PID:2144

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1171367855-15404554691407091892-1973154321-1665589286-1791473414-12856924271944839694"
1⤵
PID:3120

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-70004663-2001917081808630505-2322595061750369783-952300582-330659592681388337"
1⤵
PID:4076

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1331467648-8890182621633180156-1777088042-308238596-1655751498882053260-1885029158"
1⤵
PID:3376

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-2039443030-72869913521827561428042448-12533021421671518574-468068210-848334988"
1⤵
PID:3616

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-7811458301215466614-1702479731751541019-2088241312-9701193911508099397568159533"
1⤵
PID:3568

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "148279583367183917955973253232584471375430468-1932841375-19438877061058477200"
1⤵
PID:3256

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1968148119475780254123551927-634836250-2054671095-19084068441101140645-176969418"
1⤵
PID:3428

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-431422391-1463550309158966968913423352917881534421696262380219721701683183617"
1⤵
PID:3772

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-657585472-1318934964416414258129874674520102831718469801-1270820153-1504615209"
1⤵
PID:4876

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1605284922-464614214-9589248222125047489733132787-1126915918-608487067-985938454"
1⤵
PID:3392

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1415490926110624501117694309701223949279372328612-5459461571688036565980866872"
1⤵
PID:4668

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-801155477-1852449001-20204329431970665146311815293-14607879377760328321814957772"
1⤵
PID:3044

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "661642908-1899424598-97246503817900818571885642445-1813876865-12783339461921613316"
1⤵
PID:3636

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "95972086730130994-6723884321570504937769827483797725326-3513596157725439"
1⤵
PID:3344

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-20701507869684951142133949091987590612624960-9067873381452757962-541349466"
1⤵
PID:4972

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1431757194-2144173505329813860433559281-1449634099-377629068-851111554-1207703343"
1⤵
PID:3148

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1529587632-130235343914636613251886704691577025734-12666783561148556140-1397003799"
1⤵
PID:6132

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "19630130401318566228-1398297257555211005413463827-2549504781370269971-1274886469"
1⤵
PID:5044

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "192001182-925600517-2084772383-454956773-5554503741536423554-947713382-1276702420"
1⤵
PID:4728

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-14547976941971040648-1070658525794846553-14265251211859646865-1220368440-1611442453"
1⤵
PID:6008

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "357392869-2087896662-509418974-576166255-1499156604-1091418637-374630289-1844004496"
1⤵
PID:5040

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1382047594146891314-1790237714-1087642897-11420174381020262231902687792294583871"
1⤵
PID:4456

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1718936956-1835481930173845644011385512651117656030119624305514495538341666645205"
1⤵
PID:4320

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "95871651521063062141452159025-1150071212-101671906736074945218426103531604853371"
1⤵
PID:5528

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-2050390330-333076307-2009186164-19970584391212184332-5500527031286613152-583306084"
1⤵
PID:5792

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-254379482127159294180206360163999738-59206664260513982569455413126552403"
1⤵
PID:5940

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1207707990-2109343913-7700997424003559874518302731990435937-591203003862484863"
1⤵
PID:6952

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-882614757-1183092721-5300920272810652441197469610-1493204851178873201-50927395"
1⤵
PID:6444

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "404900116-5714138971142573923-1960381440-1465222071-1953333425-52939175-587634099"
1⤵
PID:6332

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1998393821-1837702368389928468865618921-9766914091416381802531518649760690779"
1⤵
PID:6436

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1124727637-168767135812362469941591925169247503236-1224504294695207322062505991"
1⤵
PID:5996

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-2115038124-1078318606-1529064377-10772036908634146412595844162139127329993551003"
1⤵
PID:5776

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1198595781584760865-1198215216-484701475-1691288324-1607821067-1736793463-207838423"
1⤵
PID:6432

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "13255241538953440951854579258-1632085983-962480151837115119-4197890861252894892"
1⤵
PID:6352

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-15432229371718738016-145777156-4142201701771668224733627944-677610386-166514713"
1⤵
PID:5804

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-14039628891323285554-1675118177-21570302916057141202371529-1012979142-1492798098"
1⤵
PID:7740

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "98043106515318843711442881901-69242431-912161201-1953979999342903395-1981925842"
1⤵
PID:6536

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Hide Artifacts

T1564

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Credential Access

Discovery

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

\Windows\SysWOW64\System32\SysConf.exe

Filesize
758KB

MD5
c03e82a6e39314c54928043841d1ffbb

SHA1
27b8cfb85bab4bafc30e697d1e2550252ae45970

SHA256
d9347e1034921f6be1f6de18b355912010a5bc39b5b3575111bf41c7645258d1

SHA512
1ba89c6b8a4e67027b28151772f4f5d155523bf9a28c9caba3f32b4b0d6670cf5c51fcc1005c02ab9a682c37d8184e1ae0a21ae3431712ea7289af47838274bd

Download Submit
memory/2216-0-0x0000000000240000-0x0000000000241000-memory.dmp

Filesize
4KB

Download
memory/2216-27-0x0000000000400000-0x00000000004CD000-memory.dmp

Filesize
820KB

Download
memory/2696-67-0x0000000000400000-0x00000000004CD000-memory.dmp

Filesize
820KB

Download
memory/2756-18-0x0000000000190000-0x0000000000191000-memory.dmp

Filesize
4KB

Download
memory/2756-3-0x0000000000080000-0x0000000000081000-memory.dmp

Filesize
4KB

Download

Analysis

Sharing

General

Malware Config

Extracted

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads