darkcomet | 440d4014fc6f982d095902950bb05b9e7cc85faf8abdc63626ee877e2e3ea427

Analysis

max time kernel
12s
max time network
147s
platform
windows10-2004_x64
resource
win10v2004-20241007-en
resource tags

arch:x64arch:x86image:win10v2004-20241007-enlocale:en-usos:windows10-2004-x64system
submitted
01-01-2025 08:27

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Size

714KB
MD5

4e080269a6ad6d33e0be247a7fb42024
SHA1

b2706d7a82c215990e6ef158af643dff32e1b480
SHA256

440d4014fc6f982d095902950bb05b9e7cc85faf8abdc63626ee877e2e3ea427
SHA512

45e237fcb791580fb26099b3324ef5b66d498dfe6d01321cd0da8afad86e136e80b484167a7954cdbcb483343fb38b74296217a89c822800fa7d8db6ccd49f50
SSDEEP

12288:2aAchpWsuVTv7ItY8XljyypHP7cOLBev03hlULsmWZ++09ZcKDVsgdQ:nAEENIq8XwyVPQclDq/+WnpsSQ

Score

10^/10

darkcomet discovery persistence rat trojan

Malware Config

Signatures

Darkcomet
DarkComet is a remote access trojan (RAT) developed by Jean-Pierre Lesueur.
trojan rat darkcomet
Darkcomet family
darkcomet

Modifies WinLogon for persistence 2 TTPs 64 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe,C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe

Checks BIOS information in registry 2 TTPs 64 IoCs

BIOS information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	csrrss.exe

Checks computer location settings 2 TTPs 64 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe
Key value queried	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\Control Panel\International\Geo\Nation	csrrss.exe

Executes dropped EXE 64 IoCs

pid	Process
1324	csrrss.exe
1916	csrrss.exe
3412	csrrss.exe
612	csrrss.exe
1496	csrrss.exe
436	csrrss.exe
1596	csrrss.exe
4456	csrrss.exe
4088	csrrss.exe
4956	csrrss.exe
692	csrrss.exe
4584	csrrss.exe
2548	csrrss.exe
2536	csrrss.exe
4424	csrrss.exe
1036	csrrss.exe
4488	csrrss.exe
5108	csrrss.exe
4168	csrrss.exe
1868	csrrss.exe
3360	csrrss.exe
516	csrrss.exe
376	csrrss.exe
556	csrrss.exe
372	csrrss.exe
4984	csrrss.exe
4348	csrrss.exe
1360	csrrss.exe
1040	csrrss.exe
4404	csrrss.exe
2212	csrrss.exe
4112	csrrss.exe
5104	csrrss.exe
2000	csrrss.exe
556	csrrss.exe
2276	csrrss.exe
2168	csrrss.exe
756	csrrss.exe
2496	csrrss.exe
1720	csrrss.exe
4876	csrrss.exe
4436	csrrss.exe
2112	csrrss.exe
2348	csrrss.exe
4248	csrrss.exe
4488	csrrss.exe
1176	csrrss.exe
5020	csrrss.exe
2872	csrrss.exe
4796	csrrss.exe
4356	csrrss.exe
4880	csrrss.exe
2632	csrrss.exe
1376	csrrss.exe
5000	csrrss.exe
4696	csrrss.exe
1504	csrrss.exe
5008	csrrss.exe
2328	csrrss.exe
4360	csrrss.exe
4436	csrrss.exe
3060	csrrss.exe
1376	csrrss.exe
3280	csrrss.exe

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4089630652-1596403869-279772308-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\csrrssr = "C:\\Windows\\system32\\Windupdt\\csrrss.exe"	csrrss.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	csrrss.exe
File created	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\csrrss.exe	csrrss.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Program crash 30 IoCs

pid	pid_target	Process	procid_target
2320	4424	WerFault.exe	137
3516	556	WerFault.exe	217
1676	2920	WerFault.exe	870
4596	3428	WerFault.exe	1105
2672	744	WerFault.exe	1251
1916	3564	WerFault.exe	1282
3100	1596	Process not Found	1616
752	1072	Process not Found	1737
516	4128	Process not Found	1796
4488	1868	Process not Found	2067
1496	4080	Process not Found	2557
1680	4368	Process not Found	2628
4924	4164	Process not Found	2647
2712	2864	Process not Found	3368
1768	3360	Process not Found	3723
4728	764	Process not Found	3855
3116	3512	Process not Found	3985
1496	1020	Process not Found	4155
2744	4516	Process not Found	4202
4416	2716	Process not Found	4872
3116	3304	Process not Found	4915
4324	876	Process not Found	4923
3272	1380	Process not Found	5149
2472	4668	Process not Found	5348
1108	2136	Process not Found	5826
3436	5060	Process not Found	5909
3016	2832	Process not Found	6140
3652	5016	Process not Found	6478
920	2456	Process not Found	6529
1932	1316	Process not Found	6640

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	csrrss.exe

System Network Configuration Discovery: Internet Connection Discovery 1 TTPs 64 IoCs

Adversaries may check for Internet connectivity on compromised systems.

discovery

Internet Connection Discovery

T1016.001

pid	Process
976	PING.EXE
4356	PING.EXE
3676	PING.EXE
2028	Process not Found
1452	Process not Found
3940	Process not Found
1612	Process not Found
3648	Process not Found
1656	Process not Found
3296	Process not Found
3496	Process not Found
1236	Process not Found
3096	Process not Found
3676	PING.EXE
3616	Process not Found
3936	PING.EXE
2196	Process not Found
5048	Process not Found
412	Process not Found
3436	PING.EXE
1912	PING.EXE
1072	PING.EXE
4188	PING.EXE
1236	Process not Found
4252	Process not Found
5036	Process not Found
4968	Process not Found
64	Process not Found
2832	Process not Found
1996	Process not Found
1808	Process not Found
4860	Process not Found
3876	Process not Found
1476	PING.EXE
1800	PING.EXE
4344	Process not Found
3120	Process not Found
5036	Process not Found
3948	Process not Found
3112	PING.EXE
3720	PING.EXE
3648	Process not Found
4360	Process not Found
3676	Process not Found
2628	PING.EXE
2996	PING.EXE
4896	Process not Found
3048	Process not Found
2164	Process not Found
3940	Process not Found
2748	Process not Found
1208	Process not Found
3720	Process not Found
3016	Process not Found
1388	Process not Found
4960	Process not Found
4344	PING.EXE
2548	PING.EXE
2476	Process not Found
744	Process not Found
3936	Process not Found
552	PING.EXE
1732	Process not Found
5048	Process not Found

Checks processor information in registry 2 TTPs 64 IoCs

Processor information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	csrrss.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	csrrss.exe

Enumerates system info in registry 2 TTPs 64 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	csrrss.exe

Runs ping.exe 1 TTPs 64 IoCs

Remote System Discovery

T1018

pid	Process
4472	Process not Found
4232	Process not Found
2488	PING.EXE
4072	PING.EXE
2352	PING.EXE
4860	Process not Found
5028	Process not Found
1132	Process not Found
5060	Process not Found
1616	Process not Found
3064	Process not Found
4488	Process not Found
1912	PING.EXE
1208	PING.EXE
1808	PING.EXE
3180	PING.EXE
2272	PING.EXE
2420	Process not Found
2884	Process not Found
2524	PING.EXE
2352	PING.EXE
4808	Process not Found
1360	Process not Found
752	Process not Found
2212	Process not Found
4256	Process not Found
2548	Process not Found
3544	PING.EXE
4292	PING.EXE
1072	PING.EXE
3504	Process not Found
2640	Process not Found
4244	Process not Found
4588	Process not Found
2864	Process not Found
2164	Process not Found
60	PING.EXE
1664	PING.EXE
4596	Process not Found
5000	Process not Found
1928	Process not Found
5100	PING.EXE
3708	PING.EXE
1108	Process not Found
3720	Process not Found
2088	Process not Found
4128	PING.EXE
3028	Process not Found
412	Process not Found
4256	Process not Found
3296	Process not Found
1808	Process not Found
2012	Process not Found
1864	Process not Found
1732	Process not Found
4772	Process not Found
3992	Process not Found
3712	Process not Found
3540	Process not Found
1448	PING.EXE
4856	Process not Found
3248	Process not Found
2308	Process not Found
1492	Process not Found

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeIncreaseQuotaPrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeSecurityPrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeTakeOwnershipPrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeLoadDriverPrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeSystemProfilePrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeSystemtimePrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeProfSingleProcessPrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeIncBasePriorityPrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeCreatePagefilePrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeBackupPrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeRestorePrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeShutdownPrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeDebugPrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeSystemEnvironmentPrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeChangeNotifyPrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeRemoteShutdownPrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeUndockPrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeManageVolumePrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeImpersonatePrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeCreateGlobalPrivilege	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: 33	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: 34	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: 35	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: 36	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
Token: SeIncreaseQuotaPrivilege	1324	csrrss.exe
Token: SeSecurityPrivilege	1324	csrrss.exe
Token: SeTakeOwnershipPrivilege	1324	csrrss.exe
Token: SeLoadDriverPrivilege	1324	csrrss.exe
Token: SeSystemProfilePrivilege	1324	csrrss.exe
Token: SeSystemtimePrivilege	1324	csrrss.exe
Token: SeProfSingleProcessPrivilege	1324	csrrss.exe
Token: SeIncBasePriorityPrivilege	1324	csrrss.exe
Token: SeCreatePagefilePrivilege	1324	csrrss.exe
Token: SeBackupPrivilege	1324	csrrss.exe
Token: SeRestorePrivilege	1324	csrrss.exe
Token: SeShutdownPrivilege	1324	csrrss.exe
Token: SeDebugPrivilege	1324	csrrss.exe
Token: SeSystemEnvironmentPrivilege	1324	csrrss.exe
Token: SeChangeNotifyPrivilege	1324	csrrss.exe
Token: SeRemoteShutdownPrivilege	1324	csrrss.exe
Token: SeUndockPrivilege	1324	csrrss.exe
Token: SeManageVolumePrivilege	1324	csrrss.exe
Token: SeImpersonatePrivilege	1324	csrrss.exe
Token: SeCreateGlobalPrivilege	1324	csrrss.exe
Token: 33	1324	csrrss.exe
Token: 34	1324	csrrss.exe
Token: 35	1324	csrrss.exe
Token: 36	1324	csrrss.exe
Token: SeIncreaseQuotaPrivilege	1916	csrrss.exe
Token: SeSecurityPrivilege	1916	csrrss.exe
Token: SeTakeOwnershipPrivilege	1916	csrrss.exe
Token: SeLoadDriverPrivilege	1916	csrrss.exe
Token: SeSystemProfilePrivilege	1916	csrrss.exe
Token: SeSystemtimePrivilege	1916	csrrss.exe
Token: SeProfSingleProcessPrivilege	1916	csrrss.exe
Token: SeIncBasePriorityPrivilege	1916	csrrss.exe
Token: SeCreatePagefilePrivilege	1916	csrrss.exe
Token: SeBackupPrivilege	1916	csrrss.exe
Token: SeRestorePrivilege	1916	csrrss.exe
Token: SeShutdownPrivilege	1916	csrrss.exe
Token: SeDebugPrivilege	1916	csrrss.exe
Token: SeSystemEnvironmentPrivilege	1916	csrrss.exe
Token: SeChangeNotifyPrivilege	1916	csrrss.exe
Token: SeRemoteShutdownPrivilege	1916	csrrss.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4992 wrote to memory of 1324	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe	82
PID 4992 wrote to memory of 1324	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe	82
PID 4992 wrote to memory of 1324	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe	82
PID 4992 wrote to memory of 2680	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe	83
PID 4992 wrote to memory of 2680	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe	83
PID 4992 wrote to memory of 2680	4992	JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe	83
PID 1324 wrote to memory of 1916	1324	csrrss.exe	85
PID 1324 wrote to memory of 1916	1324	csrrss.exe	85
PID 1324 wrote to memory of 1916	1324	csrrss.exe	85
PID 2680 wrote to memory of 2156	2680	cmd.exe	86
PID 2680 wrote to memory of 2156	2680	cmd.exe	86
PID 2680 wrote to memory of 2156	2680	cmd.exe	86
PID 1324 wrote to memory of 2312	1324	csrrss.exe	87
PID 1324 wrote to memory of 2312	1324	csrrss.exe	87
PID 1324 wrote to memory of 2312	1324	csrrss.exe	87
PID 2312 wrote to memory of 3680	2312	cmd.exe	89
PID 2312 wrote to memory of 3680	2312	cmd.exe	89
PID 2312 wrote to memory of 3680	2312	cmd.exe	89
PID 1916 wrote to memory of 3412	1916	csrrss.exe	90
PID 1916 wrote to memory of 3412	1916	csrrss.exe	90
PID 1916 wrote to memory of 3412	1916	csrrss.exe	90
PID 1916 wrote to memory of 4796	1916	csrrss.exe	277
PID 1916 wrote to memory of 4796	1916	csrrss.exe	277
PID 1916 wrote to memory of 4796	1916	csrrss.exe	277
PID 3412 wrote to memory of 612	3412	csrrss.exe	147
PID 3412 wrote to memory of 612	3412	csrrss.exe	147
PID 3412 wrote to memory of 612	3412	csrrss.exe	147
PID 4796 wrote to memory of 3104	4796	cmd.exe	166
PID 4796 wrote to memory of 3104	4796	cmd.exe	166
PID 4796 wrote to memory of 3104	4796	cmd.exe	166
PID 3412 wrote to memory of 2824	3412	csrrss.exe	176
PID 3412 wrote to memory of 2824	3412	csrrss.exe	176
PID 3412 wrote to memory of 2824	3412	csrrss.exe	176
PID 612 wrote to memory of 1496	612	csrrss.exe	97
PID 612 wrote to memory of 1496	612	csrrss.exe	97
PID 612 wrote to memory of 1496	612	csrrss.exe	97
PID 2824 wrote to memory of 976	2824	cmd.exe	323
PID 2824 wrote to memory of 976	2824	cmd.exe	323
PID 2824 wrote to memory of 976	2824	cmd.exe	323
PID 612 wrote to memory of 2984	612	csrrss.exe	99
PID 612 wrote to memory of 2984	612	csrrss.exe	99
PID 612 wrote to memory of 2984	612	csrrss.exe	99
PID 2984 wrote to memory of 4028	2984	cmd.exe	101
PID 2984 wrote to memory of 4028	2984	cmd.exe	101
PID 2984 wrote to memory of 4028	2984	cmd.exe	101
PID 1496 wrote to memory of 436	1496	csrrss.exe	102
PID 1496 wrote to memory of 436	1496	csrrss.exe	102
PID 1496 wrote to memory of 436	1496	csrrss.exe	102
PID 1496 wrote to memory of 1476	1496	csrrss.exe	103
PID 1496 wrote to memory of 1476	1496	csrrss.exe	103
PID 1496 wrote to memory of 1476	1496	csrrss.exe	103
PID 436 wrote to memory of 1596	436	csrrss.exe	337
PID 436 wrote to memory of 1596	436	csrrss.exe	337
PID 436 wrote to memory of 1596	436	csrrss.exe	337
PID 1476 wrote to memory of 3648	1476	cmd.exe	106
PID 1476 wrote to memory of 3648	1476	cmd.exe	106
PID 1476 wrote to memory of 3648	1476	cmd.exe	106
PID 436 wrote to memory of 3144	436	csrrss.exe	107
PID 436 wrote to memory of 3144	436	csrrss.exe	107
PID 436 wrote to memory of 3144	436	csrrss.exe	107
PID 1596 wrote to memory of 4456	1596	csrrss.exe	109
PID 1596 wrote to memory of 4456	1596	csrrss.exe	109
PID 1596 wrote to memory of 4456	1596	csrrss.exe	109
PID 1596 wrote to memory of 212	1596	csrrss.exe	403

C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe
"C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_4e080269a6ad6d33e0be247a7fb42024.exe"
1⤵
- Modifies WinLogon for persistence
- Checks BIOS information in registry
- Checks computer location settings
- Adds Run key to start application
- Drops file in System32 directory
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:4992
- C:\Windows\SysWOW64\Windupdt\csrrss.exe
  "C:\Windows\system32\Windupdt\csrrss.exe"
  2⤵
  - Modifies WinLogon for persistence
  - Executes dropped EXE
  - System Location Discovery: System Language Discovery
  - Checks processor information in registry
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:1324
- - C:\Windows\SysWOW64\Windupdt\csrrss.exe
    "C:\Windows\system32\Windupdt\csrrss.exe"
    3⤵
    - Checks BIOS information in registry
    - Checks computer location settings
    - Executes dropped EXE
    - Adds Run key to start application
    - Checks processor information in registry
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:1916
  - - C:\Windows\SysWOW64\Windupdt\csrrss.exe
      "C:\Windows\system32\Windupdt\csrrss.exe"
      4⤵
      Modifies WinLogon for persistence
      Executes dropped EXE
      Adds Run key to start application
      Drops file in System32 directory
      Suspicious use of WriteProcessMemory
      PID:3412
    - - C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        5⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        Suspicious use of WriteProcessMemory
        
        PID:612
      - C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        6⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        Suspicious use of WriteProcessMemory
        
        PID:1496
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        7⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        Suspicious use of WriteProcessMemory
        
        PID:436
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        8⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        Suspicious use of WriteProcessMemory
        
        PID:1596
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        9⤵
        Checks BIOS information in registry
        Executes dropped EXE
        
        PID:4456
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        10⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        
        PID:4088
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        11⤵
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        
        PID:4956
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        12⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        
        PID:692
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        13⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:4584
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        14⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2548
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        15⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:2536
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        16⤵
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:4424
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        17⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1036
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        18⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:4488
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        19⤵
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:5108
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        20⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:4168
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        21⤵
        Checks computer location settings
        Executes dropped EXE
        
        PID:1868
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        22⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:3360
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        23⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:516
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        24⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:376
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        25⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:556
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        26⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        
        PID:372
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        27⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:4984
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        28⤵
        Executes dropped EXE
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:4348
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        29⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Checks processor information in registry
        
        PID:1360
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        30⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:1040
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        31⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        
        PID:4404
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        32⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2212
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        33⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:4112
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        34⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:5104
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        35⤵
        Executes dropped EXE
        
        PID:2000
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        36⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Checks processor information in registry
        
        PID:556
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        37⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Enumerates system info in registry
        
        PID:2276
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        38⤵
        Checks BIOS information in registry
        Executes dropped EXE
        
        PID:2168
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        39⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:756
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        40⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2496
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        41⤵
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        
        PID:1720
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        42⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Checks processor information in registry
        
        PID:4876
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        43⤵
        Executes dropped EXE
        
        PID:4436
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        44⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2112
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        45⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:2348
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        46⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:4248
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        47⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:4488
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        48⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1176
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        49⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:5020
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        50⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:2872
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        51⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:4796
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        52⤵
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:4356
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        53⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:4880
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        54⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2632
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        55⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1376
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        56⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:5000
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        57⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:4696
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        58⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:1504
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        59⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:5008
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        60⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2328
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        61⤵
        Executes dropped EXE
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:4360
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        62⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Enumerates system info in registry
        
        PID:4436
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        63⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:3060
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        64⤵
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Enumerates system info in registry
        
        PID:1376
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        65⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:3280
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        66⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Enumerates system info in registry
        
        PID:1472
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        67⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:3952
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        68⤵
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:4956
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        69⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:3996
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        70⤵
        Checks BIOS information in registry
        Checks computer location settings
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2832
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        71⤵
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:3028
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        72⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:2836
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        73⤵
        Checks computer location settings
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:1852
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        74⤵
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:3100
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        75⤵
        Checks BIOS information in registry
        Checks computer location settings
        Drops file in System32 directory
        
        PID:1536
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        76⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:4404
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        77⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Enumerates system info in registry
        
        PID:1076
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        78⤵
        Checks BIOS information in registry
        Checks computer location settings
        Checks processor information in registry
        
        PID:4608
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        79⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:4100
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        80⤵
        Checks computer location settings
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:4232
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        81⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:3716
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        82⤵
        Checks computer location settings
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:1532
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        83⤵
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:3616
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        84⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:2136
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        85⤵
        Checks BIOS information in registry
        Checks computer location settings
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1292
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        86⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2040
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        87⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:3712
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        88⤵
        Checks computer location settings
        
        PID:2864
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        89⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Checks processor information in registry
        
        PID:4844
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        90⤵
        Checks BIOS information in registry
        Checks computer location settings
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:3952
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        91⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:2584
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        92⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:264
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        93⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        
        PID:3516
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        94⤵
        Checks BIOS information in registry
        Checks computer location settings
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:412
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        95⤵
        Checks computer location settings
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1632
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        96⤵
        Checks BIOS information in registry
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:4384
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        97⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:4560
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        98⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2384
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        99⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Checks processor information in registry
        
        PID:3108
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        100⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:4720
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        101⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:4436
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        102⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:1612
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        103⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:4876
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        104⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1360
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        105⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:4848
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        106⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2384
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        107⤵
        Checks computer location settings
        Adds Run key to start application
        Checks processor information in registry
        
        PID:2992
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        108⤵
        Checks computer location settings
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:1808
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        109⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:3036
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        110⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:436
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        111⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks computer location settings
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:2768
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        112⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:4072
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        113⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Checks processor information in registry
        
        PID:2600
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        114⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:4844
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        115⤵
        Checks BIOS information in registry
        Checks computer location settings
        Adds Run key to start application
        Checks processor information in registry
        
        PID:1960
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        116⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:1800
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        117⤵
        Checks BIOS information in registry
        Checks computer location settings
        System Location Discovery: System Language Discovery
        
        PID:4348
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        118⤵
        
        PID:4156
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        119⤵
        
        PID:3556
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        120⤵
        
        PID:752
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        121⤵
        
        PID:3004
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        122⤵
        
        PID:4164
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        123⤵
        
        PID:5112
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        124⤵
        
        PID:1292
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        125⤵
        
        PID:4956
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        126⤵
        
        PID:2608
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        127⤵
        
        PID:1588
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        128⤵
        
        PID:3996
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        129⤵
        
        PID:3676
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        130⤵
        
        PID:4904
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        131⤵
        
        PID:1676
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        132⤵
        
        PID:3512
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        133⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        134⤵
        
        PID:2212
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        135⤵
        
        PID:4476
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        136⤵
        
        PID:4168
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        137⤵
        
        PID:2964
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        138⤵
        
        PID:4688
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        139⤵
        
        PID:3696
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        140⤵
        
        PID:4740
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        141⤵
        
        PID:4876
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        142⤵
        
        PID:4992
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        143⤵
        
        PID:1920
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        144⤵
        
        PID:3720
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        145⤵
        
        PID:1108
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        146⤵
        
        PID:4168
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        147⤵
        
        PID:3712
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        148⤵
        
        PID:4672
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        149⤵
        
        PID:5080
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        150⤵
        
        PID:2104
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        151⤵
        
        PID:2112
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        152⤵
        
        PID:184
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        153⤵
        
        PID:4796
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        154⤵
        
        PID:1276
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        155⤵
        
        PID:2156
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        156⤵
        
        PID:2888
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        157⤵
        
        PID:1916
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        158⤵
        
        PID:5000
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        159⤵
        
        PID:1484
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        160⤵
        
        PID:2776
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        161⤵
        
        PID:1720
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        162⤵
        
        PID:4344
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        163⤵
        
        PID:744
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        164⤵
        
        PID:1812
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        165⤵
        
        PID:1132
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        166⤵
        
        PID:2328
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        167⤵
        
        PID:640
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        168⤵
        
        PID:3100
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        169⤵
        
        PID:2008
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        170⤵
        
        PID:2960
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        171⤵
        
        PID:3016
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        172⤵
        
        PID:2004
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        173⤵
        
        PID:756
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        174⤵
        
        PID:4436
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        175⤵
        
        PID:4368
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        176⤵
        
        PID:2632
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        177⤵
        
        PID:2328
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        178⤵
        
        PID:64
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        179⤵
        
        PID:4440
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        180⤵
        
        PID:2612
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        181⤵
        
        PID:2560
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        182⤵
        
        PID:3236
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        183⤵
        
        PID:3564
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        184⤵
        
        PID:412
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        185⤵
        
        PID:5004
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        186⤵
        
        PID:2964
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        187⤵
        
        PID:3952
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        188⤵
        
        PID:2384
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        189⤵
        
        PID:4508
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        190⤵
        
        PID:1376
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        191⤵
        
        PID:3360
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        192⤵
        
        PID:5004
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        193⤵
        
        PID:4080
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        194⤵
        
        PID:4984
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        195⤵
        
        PID:4296
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        196⤵
        
        PID:4476
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        197⤵
        
        PID:1996
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        198⤵
        
        PID:2920
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        199⤵
        
        PID:3144
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        200⤵
        
        PID:1896
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        201⤵
        
        PID:2792
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        202⤵
        
        PID:1536
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        203⤵
        
        PID:5040
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        204⤵
        
        PID:3164
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        205⤵
        
        PID:5008
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        206⤵
        
        PID:3504
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        207⤵
        
        PID:5108
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        208⤵
        
        PID:3248
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        209⤵
        
        PID:2308
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        210⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        211⤵
        
        PID:2220
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        212⤵
        
        PID:3940
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        213⤵
        
        PID:5092
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        214⤵
        
        PID:2076
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        215⤵
        
        PID:3012
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        216⤵
        
        PID:1840
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        217⤵
        
        PID:512
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        218⤵
        
        PID:712
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        219⤵
        
        PID:1800
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        220⤵
        
        PID:3504
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        221⤵
        
        PID:1700
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        222⤵
        
        PID:1756
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        223⤵
        
        PID:2992
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        224⤵
        
        PID:2640
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        225⤵
        
        PID:2008
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        226⤵
        
        PID:1092
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        227⤵
        
        PID:2584
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        228⤵
        
        PID:3032
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        229⤵
        
        PID:3432
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        230⤵
        
        PID:1196
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        231⤵
        
        PID:4156
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        232⤵
        
        PID:212
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        233⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        234⤵
        
        PID:4740
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        235⤵
        
        PID:2488
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        236⤵
        
        PID:1956
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        237⤵
        
        PID:3532
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        238⤵
        
        PID:408
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        239⤵
        
        PID:3960
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        240⤵
        
        PID:3988
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        241⤵
        
        PID:4524
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        242⤵
        
        PID:184
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        243⤵
        
        PID:2792
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        244⤵
        
        PID:3296
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        245⤵
        
        PID:2220
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        246⤵
        
        PID:1532
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        247⤵
        
        PID:1656
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        248⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        249⤵
        
        PID:1480
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        250⤵
        
        PID:4088
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        251⤵
        
        PID:1360
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        252⤵
        
        PID:4128
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        253⤵
        
        PID:1236
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        254⤵
        
        PID:3516
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        255⤵
        
        PID:2136
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        256⤵
        
        PID:1472
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        257⤵
        
        PID:3428
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        258⤵
        
        PID:3664
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        259⤵
        
        PID:3104
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        260⤵
        
        PID:2444
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        261⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        262⤵
        
        PID:3228
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        263⤵
        
        PID:4056
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        264⤵
        
        PID:4828
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        265⤵
        
        PID:456
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        266⤵
        
        PID:1496
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        267⤵
        
        PID:3304
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        268⤵
        
        PID:4968
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        269⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        270⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        271⤵
        
        PID:4760
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        272⤵
        
        PID:1504
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        273⤵
        
        PID:3940
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        274⤵
        
        PID:3364
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        275⤵
        
        PID:3304
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        276⤵
        
        PID:4360
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        277⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        278⤵
        
        PID:3720
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        279⤵
        
        PID:3452
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        280⤵
        
        PID:2780
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        281⤵
        
        PID:3988
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        282⤵
        
        PID:4576
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        283⤵
        
        PID:4440
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        284⤵
        
        PID:2600
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        285⤵
        
        PID:2012
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        286⤵
        
        PID:2988
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        287⤵
        
        PID:4156
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        288⤵
        
        PID:3696
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        289⤵
        
        PID:1612
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        290⤵
        
        PID:2680
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        291⤵
        
        PID:3716
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        292⤵
        
        PID:2760
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        293⤵
        
        PID:4832
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        294⤵
        
        PID:744
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        295⤵
        
        PID:4728
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        296⤵
        
        PID:5020
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        297⤵
        
        PID:2488
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        298⤵
        
        PID:2612
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        299⤵
        
        PID:1932
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        300⤵
        
        PID:2352
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        301⤵
        
        PID:3416
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        302⤵
        
        PID:3564
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        303⤵
        
        PID:2864
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        304⤵
        
        PID:1388
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        305⤵
        
        PID:2692
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        306⤵
        
        PID:4072
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        307⤵
        
        PID:1776
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        308⤵
        
        PID:1812
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        309⤵
        
        PID:264
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        310⤵
        
        PID:3580
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        311⤵
        
        PID:4856
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        312⤵
        
        PID:3100
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        313⤵
        
        PID:4688
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        314⤵
        
        PID:544
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        315⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        316⤵
        
        PID:3844
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        317⤵
        
        PID:3452
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        318⤵
        
        PID:1652
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        319⤵
        
        PID:2724
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        320⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        321⤵
        
        PID:4892
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        322⤵
        
        PID:4480
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        323⤵
        
        PID:3568
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        324⤵
        
        PID:3652
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        325⤵
        
        PID:4832
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        326⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        327⤵
        
        PID:2260
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        328⤵
        
        PID:2980
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        329⤵
        
        PID:2560
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        330⤵
        
        PID:432
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        331⤵
        
        PID:4960
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        332⤵
        
        PID:4248
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        333⤵
        
        PID:264
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        334⤵
        
        PID:3580
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        335⤵
        
        PID:2788
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        336⤵
        
        PID:432
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        337⤵
        
        PID:2476
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        338⤵
        
        PID:3116
        
        C:\Windows\SysWOW64\Windupdt\csrrss.exe
        
        "C:\Windows\system32\Windupdt\csrrss.exe"
        339⤵
        
        PID:4992
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        338⤵
        
        PID:1196
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        339⤵
        
        PID:5100
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        337⤵
        
        PID:3264
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        338⤵
        
        PID:3704
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        336⤵
        
        PID:4900
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        337⤵
        
        PID:3872
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        335⤵
        
        PID:2560
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        336⤵
        
        PID:2604
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        334⤵
        
        PID:544
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        335⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3676
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        333⤵
        
        PID:1732
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        334⤵
        
        PID:4668
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        332⤵
        
        PID:3016
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        333⤵
        
        PID:1484
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        331⤵
        
        PID:2136
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        332⤵
        
        PID:3540
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        330⤵
        
        PID:3564
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        331⤵
        
        PID:4860
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        329⤵
        
        PID:408
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        330⤵
        
        PID:5112
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        328⤵
        
        PID:2096
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        329⤵
        
        PID:2720
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        327⤵
        
        PID:2680
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        328⤵
        
        PID:1448
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        326⤵
        
        PID:3716
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        327⤵
        
        PID:2192
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        325⤵
        
        PID:3708
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        326⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        324⤵
        
        PID:3636
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        325⤵
        Runs ping.exe
        
        PID:2352
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        323⤵
        
        PID:1772
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        324⤵
        
        PID:2640
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        322⤵
        
        PID:4292
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        323⤵
        
        PID:4368
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        321⤵
        
        PID:1256
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        322⤵
        
        PID:3844
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        320⤵
        
        PID:1800
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        321⤵
        
        PID:2188
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        319⤵
        
        PID:2072
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        320⤵
        
        PID:184
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        318⤵
        
        PID:1360
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        319⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3676
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        317⤵
        
        PID:5004
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        318⤵
        
        PID:3696
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        316⤵
        
        PID:4344
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        317⤵
        
        PID:64
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        315⤵
        
        PID:1072
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        316⤵
        Runs ping.exe
        
        PID:2272
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        314⤵
        
        PID:2992
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        315⤵
        
        PID:4128
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        313⤵
        
        PID:4072
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        314⤵
        
        PID:3436
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        312⤵
        
        PID:2692
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        313⤵
        
        PID:1452
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        311⤵
        
        PID:220
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        312⤵
        
        PID:1448
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        310⤵
        
        PID:2980
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        311⤵
        
        PID:2680
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        309⤵
        
        PID:2192
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        310⤵
        
        PID:2864
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        308⤵
        
        PID:1276
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        309⤵
        
        PID:3668
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        307⤵
        
        PID:2740
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        308⤵
        
        PID:3652
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        306⤵
        
        PID:412
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        307⤵
        
        PID:1472
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        305⤵
        
        PID:4348
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        306⤵
        
        PID:2764
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        304⤵
        
        PID:3848
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        305⤵
        
        PID:3716
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3564 -s 920
        303⤵
        Program crash
        
        PID:1916
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        302⤵
        
        PID:2280
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        303⤵
        
        PID:3488
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        301⤵
        
        PID:1892
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        302⤵
        
        PID:4168
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        300⤵
        
        PID:3236
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        301⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2996
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        299⤵
        
        PID:1360
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        300⤵
        
        PID:2272
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        298⤵
        
        PID:3704
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        299⤵
        
        PID:4088
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        297⤵
        
        PID:4132
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        298⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:1800
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        296⤵
        
        PID:1856
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        297⤵
        
        PID:2076
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 744 -s 1332
        295⤵
        Program crash
        
        PID:2672
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        294⤵
        
        PID:5076
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        295⤵
        
        PID:1868
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        295⤵
        Runs ping.exe
        
        PID:1664
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        293⤵
        
        PID:4956
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        294⤵
        Runs ping.exe
        
        PID:1072
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        292⤵
        
        PID:64
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        293⤵
        
        PID:4232
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        291⤵
        
        PID:4380
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        292⤵
        
        PID:3984
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        290⤵
        
        PID:5008
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        291⤵
        
        PID:2640
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        289⤵
        
        PID:3688
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        290⤵
        
        PID:4852
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        288⤵
        
        PID:392
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        289⤵
        
        PID:2112
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        287⤵
        
        PID:4804
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        288⤵
        
        PID:2980
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        286⤵
        
        PID:5048
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        287⤵
        
        PID:4892
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        285⤵
        
        PID:4524
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        286⤵
        
        PID:2328
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        284⤵
        
        PID:2992
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        285⤵
        
        PID:2220
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        283⤵
        
        PID:1864
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        284⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        282⤵
        
        PID:5084
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        283⤵
        
        PID:4484
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        281⤵
        
        PID:1036
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        282⤵
        Runs ping.exe
        
        PID:60
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        280⤵
        
        PID:2476
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        281⤵
        
        PID:1652
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        279⤵
        
        PID:3308
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        280⤵
        
        PID:2036
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        278⤵
        
        PID:2612
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        279⤵
        
        PID:3104
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        279⤵
        
        PID:1860
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        277⤵
        
        PID:2280
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        278⤵
        
        PID:1656
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        276⤵
        
        PID:3064
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        277⤵
        
        PID:3460
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        275⤵
        
        PID:3092
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        276⤵
        Runs ping.exe
        
        PID:2524
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        274⤵
        
        PID:3556
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        275⤵
        
        PID:5036
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        273⤵
        
        PID:1476
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        274⤵
        
        PID:2068
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        272⤵
        
        PID:3380
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        273⤵
        
        PID:1452
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        271⤵
        
        PID:5008
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        272⤵
        
        PID:3032
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        270⤵
        
        PID:448
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        271⤵
        
        PID:4668
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        269⤵
        
        PID:1720
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        270⤵
        
        PID:744
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        268⤵
        
        PID:4072
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        269⤵
        
        PID:1532
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        267⤵
        
        PID:4336
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        268⤵
        
        PID:1756
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        266⤵
        
        PID:4740
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        267⤵
        
        PID:5004
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        265⤵
        
        PID:4384
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        266⤵
        Runs ping.exe
        
        PID:2352
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        264⤵
        
        PID:4984
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        265⤵
        
        PID:3004
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        263⤵
        
        PID:4924
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        264⤵
        
        PID:2088
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        262⤵
        
        PID:1932
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        263⤵
        
        PID:4896
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        261⤵
        
        PID:2960
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        262⤵
        
        PID:4624
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        260⤵
        
        PID:3952
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        261⤵
        
        PID:1680
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        259⤵
        
        PID:3580
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        260⤵
        
        PID:1236
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3428 -s 1004
        258⤵
        Program crash
        
        PID:4596
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        257⤵
        
        PID:3988
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        258⤵
        
        PID:4404
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        256⤵
        
        PID:4604
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        257⤵
        
        PID:4348
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        255⤵
        
        PID:4080
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        256⤵
        
        PID:4796
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        254⤵
        
        PID:64
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        255⤵
        
        PID:2112
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        253⤵
        
        PID:4480
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        254⤵
        
        PID:5008
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        252⤵
        
        PID:3100
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        253⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        251⤵
        
        PID:1484
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        252⤵
        
        PID:2776
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        250⤵
        
        PID:3416
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        251⤵
        
        PID:2384
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        249⤵
        
        PID:4848
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        250⤵
        
        PID:3504
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        248⤵
        
        PID:3512
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        249⤵
        
        PID:756
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        247⤵
        
        PID:2548
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        248⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        246⤵
        
        PID:1160
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        247⤵
        
        PID:976
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        245⤵
        
        PID:2308
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        246⤵
        
        PID:1856
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        244⤵
        
        PID:2884
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        245⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        243⤵
        
        PID:2260
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        244⤵
        
        PID:1092
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        242⤵
        
        PID:1796
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        243⤵
        
        PID:3388
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        241⤵
        
        PID:1276
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        242⤵
        
        PID:2964
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        240⤵
        
        PID:2000
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        241⤵
        
        PID:2488
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        239⤵
        
        PID:1896
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        240⤵
        
        PID:2476
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        238⤵
        
        PID:4040
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        239⤵
        
        PID:3948
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        237⤵
        
        PID:2764
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        238⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:552
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        236⤵
        
        PID:1932
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        237⤵
        
        PID:4780
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        235⤵
        
        PID:5036
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        236⤵
        
        PID:4728
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        234⤵
        
        PID:3700
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        235⤵
        Runs ping.exe
        
        PID:1808
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        233⤵
        
        PID:4480
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        234⤵
        
        PID:4988
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        232⤵
        
        PID:3092
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        233⤵
        
        PID:4024
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        231⤵
        
        PID:2864
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        232⤵
        
        PID:4088
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        230⤵
        
        PID:4080
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        231⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3936
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        229⤵
        
        PID:1020
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        230⤵
        
        PID:3488
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        228⤵
        
        PID:1108
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        229⤵
        
        PID:3720
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        227⤵
        
        PID:1696
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        228⤵
        
        PID:1700
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        226⤵
        
        PID:2384
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        227⤵
        
        PID:4624
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        225⤵
        
        PID:2720
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        226⤵
        
        PID:2740
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        224⤵
        
        PID:4860
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        225⤵
        
        PID:712
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        223⤵
        
        PID:4804
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        224⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        222⤵
        
        PID:3996
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        223⤵
        
        PID:1176
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        221⤵
        
        PID:3116
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        222⤵
        
        PID:264
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        220⤵
        
        PID:5092
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        221⤵
        
        PID:3044
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        219⤵
        
        PID:4472
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        220⤵
        
        PID:4832
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        218⤵
        
        PID:4040
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        219⤵
        
        PID:3228
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        217⤵
        
        PID:1284
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        218⤵
        
        PID:5008
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        216⤵
        
        PID:5084
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        217⤵
        
        PID:5076
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        215⤵
        
        PID:3460
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        216⤵
        
        PID:2312
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        214⤵
        
        PID:448
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        215⤵
        
        PID:552
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        213⤵
        
        PID:4480
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        214⤵
        
        PID:2072
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        212⤵
        
        PID:1572
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        213⤵
        
        PID:4644
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        211⤵
        
        PID:2028
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        212⤵
        
        PID:4080
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        210⤵
        
        PID:1484
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        211⤵
        
        PID:1376
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        209⤵
        
        PID:3236
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        210⤵
        
        PID:744
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        208⤵
        
        PID:4296
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        209⤵
        
        PID:5048
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        207⤵
        
        PID:1676
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        208⤵
        
        PID:4584
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        208⤵
        
        PID:4328
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        206⤵
        
        PID:2612
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        207⤵
        
        PID:1788
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        205⤵
        
        PID:220
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        206⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2548
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        204⤵
        
        PID:756
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        205⤵
        
        PID:456
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        203⤵
        
        PID:1864
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        204⤵
        
        PID:3876
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        202⤵
        
        PID:2884
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        203⤵
        
        PID:3096
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        201⤵
        
        PID:1452
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        202⤵
        
        PID:1796
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        200⤵
        
        PID:4008
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        201⤵
        
        PID:3520
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2920 -s 1016
        199⤵
        Program crash
        
        PID:1676
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        198⤵
        
        PID:1292
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        199⤵
        
        PID:4720
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        197⤵
        
        PID:3104
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        198⤵
        Runs ping.exe
        
        PID:3708
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        196⤵
        
        PID:5084
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        197⤵
        
        PID:3668
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        195⤵
        
        PID:4988
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        196⤵
        
        PID:4644
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        194⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        195⤵
        
        PID:3604
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        193⤵
        
        PID:3488
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        194⤵
        
        PID:516
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        194⤵
        
        PID:1596
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        192⤵
        
        PID:4436
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        193⤵
        Runs ping.exe
        
        PID:4072
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        191⤵
        
        PID:3380
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        192⤵
        
        PID:5016
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        190⤵
        
        PID:2652
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        191⤵
        
        PID:1844
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        189⤵
        
        PID:4876
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        190⤵
        
        PID:1360
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        188⤵
        
        PID:976
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        189⤵
        
        PID:2692
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        187⤵
        
        PID:2688
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        188⤵
        
        PID:2424
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        186⤵
        
        PID:1836
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        187⤵
        
        PID:3228
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        185⤵
        
        PID:220
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        186⤵
        
        PID:3916
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        184⤵
        
        PID:3264
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        183⤵
        
        PID:2272
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        184⤵
        
        PID:4164
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        182⤵
        
        PID:3992
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        183⤵
        
        PID:4448
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        181⤵
        
        PID:4504
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        182⤵
        
        PID:4380
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        180⤵
        
        PID:3500
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        181⤵
        
        PID:2604
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        179⤵
        
        PID:3436
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        180⤵
        
        PID:1892
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        178⤵
        
        PID:4860
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        179⤵
        
        PID:2096
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        177⤵
        
        PID:2196
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        178⤵
        
        PID:4796
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        176⤵
        
        PID:1664
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        177⤵
        
        PID:2884
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        175⤵
        
        PID:3460
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        176⤵
        
        PID:2476
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        174⤵
        
        PID:3100
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        175⤵
        
        PID:4080
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        173⤵
        
        PID:1928
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        174⤵
        
        PID:2736
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        172⤵
        
        PID:4568
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        173⤵
        
        PID:1692
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        171⤵
        
        PID:2652
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        172⤵
        
        PID:4644
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        170⤵
        
        PID:1376
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        171⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        169⤵
        
        PID:1264
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        170⤵
        
        PID:264
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        168⤵
        
        PID:2424
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        169⤵
        
        PID:4968
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        167⤵
        
        PID:2112
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        168⤵
        
        PID:4356
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        168⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:1476
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        166⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        167⤵
        
        PID:2040
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        165⤵
        
        PID:2928
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        166⤵
        
        PID:4992
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        166⤵
        
        PID:4384
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        164⤵
        
        PID:412
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        165⤵
        
        PID:3328
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        163⤵
        
        PID:408
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        164⤵
        
        PID:4848
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        162⤵
        
        PID:2088
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        163⤵
        
        PID:2680
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        161⤵
        
        PID:4292
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        162⤵
        
        PID:5004
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        160⤵
        
        PID:752
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        161⤵
        
        PID:4896
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        159⤵
        
        PID:2260
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        160⤵
        
        PID:2272
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        158⤵
        
        PID:3048
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        159⤵
        
        PID:1168
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        159⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4188
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        157⤵
        
        PID:4008
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        158⤵
        
        PID:1776
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        156⤵
        
        PID:3560
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        157⤵
        
        PID:4856
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        155⤵
        
        PID:3968
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        156⤵
        
        PID:2028
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        154⤵
        
        PID:2584
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        155⤵
        
        PID:2884
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        153⤵
        
        PID:3164
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        154⤵
        
        PID:4488
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        152⤵
        
        PID:1208
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        153⤵
        
        PID:3036
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        151⤵
        
        PID:2652
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        152⤵
        
        PID:4368
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        150⤵
        
        PID:3012
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        151⤵
        
        PID:5008
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        149⤵
        
        PID:3304
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        150⤵
        
        PID:3432
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        148⤵
        
        PID:4432
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        149⤵
        
        PID:640
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        147⤵
        
        PID:2196
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        148⤵
        Runs ping.exe
        
        PID:3180
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        146⤵
        
        PID:3936
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        147⤵
        
        PID:4132
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        145⤵
        
        PID:4388
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        146⤵
        
        PID:2612
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        144⤵
        
        PID:3996
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        145⤵
        
        PID:4328
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        143⤵
        
        PID:1840
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        144⤵
        
        PID:4884
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        142⤵
        
        PID:4040
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        143⤵
        Runs ping.exe
        
        PID:4292
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        141⤵
        
        PID:2836
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        142⤵
        
        PID:4644
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        140⤵
        
        PID:1500
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        141⤵
        
        PID:4504
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        139⤵
        
        PID:3328
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        140⤵
        
        PID:4856
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        138⤵
        
        PID:4080
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        139⤵
        
        PID:1932
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        137⤵
        
        PID:4484
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        138⤵
        
        PID:3032
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        136⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        137⤵
        
        PID:4588
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        135⤵
        
        PID:4252
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        136⤵
        
        PID:4100
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        136⤵
        
        PID:1168
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        134⤵
        
        PID:748
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        135⤵
        
        PID:976
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        133⤵
        
        PID:4596
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        134⤵
        
        PID:1316
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        132⤵
        
        PID:2608
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        133⤵
        
        PID:4356
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        131⤵
        
        PID:636
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        132⤵
        
        PID:2072
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        130⤵
        
        PID:2548
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        131⤵
        
        PID:516
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        129⤵
        
        PID:3304
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        130⤵
        
        PID:1916
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        128⤵
        
        PID:4828
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        129⤵
        
        PID:4584
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        127⤵
        
        PID:2604
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        128⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4344
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        126⤵
        
        PID:3296
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        127⤵
        
        PID:3460
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        125⤵
        
        PID:2680
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        126⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3720
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        124⤵
        
        PID:2888
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        125⤵
        
        PID:4644
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        123⤵
        
        PID:2280
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        124⤵
        
        PID:1852
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        122⤵
        
        PID:4948
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        123⤵
        
        PID:4428
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        121⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        122⤵
        
        PID:4028
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        120⤵
        
        PID:3540
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        121⤵
        
        PID:3648
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        119⤵
        
        PID:3428
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        120⤵
        
        PID:60
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        118⤵
        
        PID:3664
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        119⤵
        
        PID:688
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        117⤵
        
        PID:3048
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        118⤵
        
        PID:4132
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        116⤵
        System Location Discovery: System Language Discovery
        
        PID:3964
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        117⤵
        System Location Discovery: System Language Discovery
        
        PID:4100
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        115⤵
        
        PID:1756
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        116⤵
        
        PID:4232
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        114⤵
        System Location Discovery: System Language Discovery
        
        PID:2828
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        115⤵
        System Location Discovery: System Language Discovery
        
        PID:692
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        113⤵
        
        PID:4360
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        114⤵
        
        PID:3016
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        112⤵
        
        PID:5008
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        113⤵
        Runs ping.exe
        
        PID:5100
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        111⤵
        
        PID:2548
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        112⤵
        
        PID:1720
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        110⤵
        
        PID:2296
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        111⤵
        
        PID:2040
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        109⤵
        
        PID:4352
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        110⤵
        
        PID:4404
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        108⤵
        
        PID:1092
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        109⤵
        
        PID:3716
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        107⤵
        System Location Discovery: System Language Discovery
        
        PID:4380
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        108⤵
        
        PID:2220
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        106⤵
        
        PID:1572
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        107⤵
        System Location Discovery: System Language Discovery
        
        PID:5000
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        105⤵
        
        PID:3952
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        106⤵
        Runs ping.exe
        
        PID:3544
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        104⤵
        
        PID:1484
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        105⤵
        System Location Discovery: System Language Discovery
        
        PID:3704
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        103⤵
        
        PID:4584
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        104⤵
        
        PID:1284
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        102⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        103⤵
        
        PID:408
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        101⤵
        System Location Discovery: System Language Discovery
        
        PID:2276
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        102⤵
        
        PID:412
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        100⤵
        
        PID:4740
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        101⤵
        Runs ping.exe
        
        PID:1448
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        99⤵
        
        PID:2780
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        100⤵
        System Location Discovery: System Language Discovery
        
        PID:1664
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        98⤵
        System Location Discovery: System Language Discovery
        
        PID:4128
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        99⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        97⤵
        
        PID:4948
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        98⤵
        System Location Discovery: System Language Discovery
        
        PID:3688
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        96⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        97⤵
        
        PID:3016
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        95⤵
        
        PID:2320
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        96⤵
        System Location Discovery: System Language Discovery
        
        PID:4372
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        94⤵
        
        PID:3452
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        95⤵
        
        PID:2980
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        93⤵
        
        PID:2040
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        94⤵
        
        PID:4976
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        94⤵
        System Location Discovery: System Language Discovery
        
        PID:3264
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        92⤵
        
        PID:860
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        93⤵
        
        PID:4696
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        91⤵
        
        PID:1504
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        92⤵
        System Location Discovery: System Language Discovery
        
        PID:232
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        90⤵
        
        PID:692
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        91⤵
        
        PID:4188
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        89⤵
        
        PID:3992
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        90⤵
        
        PID:2992
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        88⤵
        
        PID:3916
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        87⤵
        System Location Discovery: System Language Discovery
        
        PID:5008
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        88⤵
        
        PID:3100
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        86⤵
        
        PID:3704
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        87⤵
        
        PID:1284
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        85⤵
        
        PID:3164
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        86⤵
        
        PID:4884
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        84⤵
        
        PID:1312
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        85⤵
        
        PID:5108
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        83⤵
        
        PID:3388
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        84⤵
        
        PID:2088
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        82⤵
        
        PID:1448
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        83⤵
        System Location Discovery: System Language Discovery
        
        PID:1664
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        81⤵
        
        PID:4984
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        82⤵
        
        PID:212
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        82⤵
        
        PID:1196
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        80⤵
        
        PID:1896
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        81⤵
        
        PID:4504
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        79⤵
        
        PID:1996
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        80⤵
        
        PID:1768
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        78⤵
        
        PID:1512
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        79⤵
        
        PID:3560
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        77⤵
        
        PID:2472
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        78⤵
        
        PID:4568
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        76⤵
        
        PID:688
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        77⤵
        
        PID:448
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        75⤵
        
        PID:2560
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        76⤵
        
        PID:752
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        74⤵
        
        PID:4428
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        75⤵
        System Location Discovery: System Language Discovery
        
        PID:3380
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        73⤵
        
        PID:2524
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        74⤵
        
        PID:3936
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        72⤵
        
        PID:2780
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        73⤵
        
        PID:2584
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        71⤵
        
        PID:3540
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        72⤵
        
        PID:1960
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        70⤵
        
        PID:4380
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        71⤵
        
        PID:4108
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        69⤵
        
        PID:2768
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        70⤵
        
        PID:3264
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        68⤵
        
        PID:2492
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        69⤵
        
        PID:4796
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        67⤵
        
        PID:2036
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        68⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2628
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        66⤵
        
        PID:5108
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        67⤵
        System Location Discovery: System Language Discovery
        
        PID:1312
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        65⤵
        
        PID:4024
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        66⤵
        
        PID:1596
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        66⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:1072
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        64⤵
        
        PID:5076
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        65⤵
        
        PID:408
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        63⤵
        
        PID:3364
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        64⤵
        
        PID:4248
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        62⤵
        
        PID:1776
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        63⤵
        
        PID:2632
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        61⤵
        
        PID:4976
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        62⤵
        System Location Discovery: System Language Discovery
        
        PID:976
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        60⤵
        System Location Discovery: System Language Discovery
        
        PID:4644
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        61⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:1912
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        59⤵
        
        PID:4728
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        60⤵
        
        PID:3180
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        58⤵
        
        PID:4432
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        59⤵
        
        PID:2536
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        57⤵
        System Location Discovery: System Language Discovery
        
        PID:3624
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        58⤵
        Runs ping.exe
        
        PID:1208
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        56⤵
        System Location Discovery: System Language Discovery
        
        PID:2980
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        57⤵
        
        PID:3936
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        55⤵
        
        PID:2740
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        56⤵
        
        PID:4132
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        54⤵
        
        PID:4824
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        55⤵
        
        PID:3164
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        53⤵
        
        PID:3972
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        54⤵
        System Location Discovery: System Language Discovery
        
        PID:376
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        52⤵
        
        PID:3452
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        53⤵
        
        PID:3096
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        51⤵
        
        PID:4340
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        52⤵
        
        PID:2212
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        50⤵
        System Location Discovery: System Language Discovery
        
        PID:4572
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        51⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3436
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        49⤵
        System Location Discovery: System Language Discovery
        
        PID:1360
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        50⤵
        
        PID:1184
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        48⤵
        
        PID:5036
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        49⤵
        
        PID:4476
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        47⤵
        
        PID:1920
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        48⤵
        
        PID:1768
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        46⤵
        System Location Discovery: System Language Discovery
        
        PID:3036
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        47⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3112
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        45⤵
        
        PID:2772
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        46⤵
        
        PID:5076
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        44⤵
        
        PID:3364
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        45⤵
        
        PID:3060
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        43⤵
        
        PID:1840
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        44⤵
        
        PID:3048
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        42⤵
        
        PID:3636
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        43⤵
        
        PID:4644
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        41⤵
        
        PID:2604
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        42⤵
        
        PID:2640
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        40⤵
        
        PID:1452
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        41⤵
        
        PID:552
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        39⤵
        System Location Discovery: System Language Discovery
        
        PID:400
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        40⤵
        
        PID:1292
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        38⤵
        
        PID:3100
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        39⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:4128
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 556 -s 1020
        37⤵
        Program crash
        
        PID:3516
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        36⤵
        
        PID:892
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        37⤵
        
        PID:2740
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        35⤵
        
        PID:3880
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        36⤵
        
        PID:2792
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        34⤵
        System Location Discovery: System Language Discovery
        
        PID:2124
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        35⤵
        
        PID:1256
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        33⤵
        
        PID:4560
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        34⤵
        
        PID:3432
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        32⤵
        
        PID:1812
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        33⤵
        
        PID:4856
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        31⤵
        
        PID:4728
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        32⤵
        
        PID:4088
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        30⤵
        
        PID:1700
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        31⤵
        Runs ping.exe
        
        PID:2488
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        29⤵
        
        PID:1856
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        30⤵
        System Location Discovery: System Language Discovery
        
        PID:5060
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        28⤵
        
        PID:1168
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        29⤵
        
        PID:2612
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        27⤵
        
        PID:3280
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        28⤵
        System Location Discovery: System Language Discovery
        
        PID:792
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        26⤵
        
        PID:2884
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        27⤵
        System Location Discovery: System Language Discovery
        
        PID:3096
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        25⤵
        
        PID:2828
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        26⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        26⤵
        
        PID:3364
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        24⤵
        
        PID:2548
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        25⤵
        
        PID:3972
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        23⤵
        
        PID:3104
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        24⤵
        
        PID:3532
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        22⤵
        
        PID:5024
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        23⤵
        
        PID:2724
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        21⤵
        System Location Discovery: System Language Discovery
        
        PID:1452
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        22⤵
        
        PID:2680
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        20⤵
        System Location Discovery: System Language Discovery
        
        PID:1588
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        21⤵
        
        PID:3388
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        19⤵
        
        PID:4920
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        20⤵
        
        PID:1596
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        18⤵
        
        PID:612
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        19⤵
        
        PID:3064
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 4424 -s 1020
        17⤵
        Program crash
        
        PID:2320
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        16⤵
        
        PID:3236
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        17⤵
        System Location Discovery: System Language Discovery
        
        PID:2124
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        15⤵
        
        PID:2720
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        16⤵
        
        PID:4992
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        14⤵
        
        PID:1076
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        15⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4356
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        13⤵
        System Location Discovery: System Language Discovery
        
        PID:4608
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        14⤵
        Runs ping.exe
        
        PID:1912
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        12⤵
        
        PID:1132
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        13⤵
        
        PID:3604
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        11⤵
        
        PID:4684
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        12⤵
        
        PID:1632
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        10⤵
        System Location Discovery: System Language Discovery
        
        PID:4128
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        11⤵
        
        PID:3544
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        9⤵
        System Location Discovery: System Language Discovery
        
        PID:212
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        10⤵
        System Location Discovery: System Language Discovery
        
        PID:3580
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:3144
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        
        PID:3328
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        Suspicious use of WriteProcessMemory
        
        PID:1476
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        
        PID:3648
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        6⤵
        Suspicious use of WriteProcessMemory
        
        PID:2984
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        7⤵
        
        PID:4028
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        5⤵
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:2824
      - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        6⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:976
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
      4⤵
      Suspicious use of WriteProcessMemory
      PID:4796
    - - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        5⤵
        
        PID:3104
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
    3⤵
    - System Location Discovery: System Language Discovery
    - Suspicious use of WriteProcessMemory
    PID:2312
  - - C:\Windows\SysWOW64\PING.EXE
      ping 127.0.0.1 -n 2
      4⤵
      System Location Discovery: System Language Discovery
      PID:3680
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2680
- - C:\Windows\SysWOW64\PING.EXE
    ping 127.0.0.1 -n 2
    3⤵
    PID:2156

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 408 -p 4424 -ip 4424
1⤵
PID:1844

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 524 -p 556 -ip 556
1⤵
PID:2584

C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\servicing\TrustedInstaller.exe
1⤵
PID:612

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 404 -p 2920 -ip 2920
1⤵
PID:4804

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 536 -p 3428 -ip 3428
1⤵
PID:2488

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 532 -p 744 -ip 744
1⤵
PID:4960

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 452 -p 3564 -ip 3564
1⤵
PID:544

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

Remote System Discovery

T1018

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

System Network Configuration Discovery

T1016

Internet Connection Discovery

T1016.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat

Filesize
74B

MD5
1bf8b56f216aa53e21dcaeb3af48a041

SHA1
89bc912ea2db373d97cc981f12dc9a6aaa2c5cf6

SHA256
5193765ddb45e9bc671936325701e1f50fa42826f6c5840e0ae4deb7e8bf2803

SHA512
75054a65db6d165266139fc3bb85538b0d33ebdb943442c3f1b4cdb7fce0a62e7e43385fa4e71b15dcbd094573d9c41c5672d77a376015221fa7bcb13e802cca

Download Submit
C:\Windows\SysWOW64\Windupdt\csrrss.exe

Filesize
714KB

MD5
4e080269a6ad6d33e0be247a7fb42024

SHA1
b2706d7a82c215990e6ef158af643dff32e1b480

SHA256
440d4014fc6f982d095902950bb05b9e7cc85faf8abdc63626ee877e2e3ea427

SHA512
45e237fcb791580fb26099b3324ef5b66d498dfe6d01321cd0da8afad86e136e80b484167a7954cdbcb483343fb38b74296217a89c822800fa7d8db6ccd49f50

Download Submit
memory/372-152-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/376-139-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/436-49-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/516-133-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/556-259-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/556-145-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/612-38-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/692-77-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/756-197-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1036-100-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1040-171-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1176-224-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1324-13-0x00000000022A0000-0x00000000022A1000-memory.dmp

Filesize
4KB

Download
memory/1324-21-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1360-167-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1376-278-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1376-249-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1496-43-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1504-258-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1596-55-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1720-205-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1868-122-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/1916-27-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2000-191-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2112-215-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2168-195-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2212-181-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2276-193-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2328-264-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2348-217-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2496-201-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2536-94-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2548-88-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2632-247-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/2872-232-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/3060-274-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/3280-281-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/3360-127-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/3412-33-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4088-66-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4112-185-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4168-116-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4248-219-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4348-162-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4356-240-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4360-267-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4404-176-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4436-212-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4436-270-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4456-61-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4488-221-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4488-105-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4584-83-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4696-256-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4796-236-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4876-209-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4880-243-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4956-71-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4984-157-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/4992-0-0x00000000022D0000-0x00000000022D1000-memory.dmp

Filesize
4KB

Download
memory/4992-15-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/5000-253-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/5008-262-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/5020-228-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/5104-189-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download
memory/5108-111-0x0000000000400000-0x00000000004C0000-memory.dmp

Filesize
768KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads