darkcomet | 16c75f3c3f06516f7c25080f2ab9a326b70c7a9558c2a91732136a5684a9b18f

Analysis

max time kernel
149s
max time network
142s
platform
windows10-2004_x64
resource
win10v2004-20241007-en
resource tags

arch:x64arch:x86image:win10v2004-20241007-enlocale:en-usos:windows10-2004-x64system
submitted
12-01-2025 21:18

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Size

902KB
MD5

18808fff612eca56d1e1887f88177319
SHA1

803a2af807a3c2c9c844674379c2230a812fafb0
SHA256

16c75f3c3f06516f7c25080f2ab9a326b70c7a9558c2a91732136a5684a9b18f
SHA512

657acbbd1fd467395c47ef415b414f3f3f04bb4153c63f2e40c1203493895d46e1c6a439a70ad9640fe73051b26f3f4e35e8d8928b6eb1dd7ef968b41aa028ef
SSDEEP

24576:5mb5/pLZzKaXsTOnPXZOFCqLP7OvNPpTbReTbCqIe+:wb9ppcTOniCqLP7OvV

Score

10^/10

darkcomet discovery persistence rat trojan

Malware Config

Signatures

Darkcomet
DarkComet is a remote access trojan (RAT) developed by Jean-Pierre Lesueur.
trojan rat darkcomet
Darkcomet family
darkcomet

Modifies WinLogon for persistence 2 TTPs 64 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe,C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe

Checks computer location settings 2 TTPs 64 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\Control Panel\International\Geo\Nation	svchost.exe

Executes dropped EXE 64 IoCs

pid	Process
2892	svchost.exe
3824	svchost.exe
1036	svchost.exe
4368	svchost.exe
1192	svchost.exe
4892	svchost.exe
452	svchost.exe
3660	svchost.exe
3476	svchost.exe
4296	svchost.exe
4464	svchost.exe
3496	svchost.exe
3412	svchost.exe
3252	svchost.exe
3776	svchost.exe
4800	svchost.exe
1652	svchost.exe
1768	svchost.exe
1204	svchost.exe
4388	svchost.exe
544	svchost.exe
3540	svchost.exe
4056	svchost.exe
4352	svchost.exe
1820	svchost.exe
3320	svchost.exe
2036	svchost.exe
3080	svchost.exe
4184	svchost.exe
2440	svchost.exe
4960	svchost.exe
3544	svchost.exe
5064	svchost.exe
3728	svchost.exe
2980	svchost.exe
4416	svchost.exe
4660	svchost.exe
4648	svchost.exe
3376	svchost.exe
4560	svchost.exe
5064	svchost.exe
116	svchost.exe
3624	svchost.exe
4516	svchost.exe
2620	svchost.exe
1472	svchost.exe
4352	svchost.exe
2240	svchost.exe
2076	svchost.exe
1036	svchost.exe
1856	svchost.exe
2588	svchost.exe
2448	svchost.exe
4068	svchost.exe
5084	svchost.exe
3624	svchost.exe
3948	svchost.exe
2692	svchost.exe
5064	svchost.exe
1012	svchost.exe
872	svchost.exe
1328	svchost.exe
4756	svchost.exe
2072	svchost.exe

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1045960512-3948844814-3059691613-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\Windupdt\\svchost.exe"	svchost.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe
File created	C:\Windows\SysWOW64\Windupdt\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	svchost.exe

Suspicious use of SetThreadContext 64 IoCs

description	pid	Process	procid_target
PID 4188 set thread context of 4448	4188	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	85
PID 2892 set thread context of 3824	2892	svchost.exe	90
PID 1036 set thread context of 4368	1036	svchost.exe	95
PID 1192 set thread context of 4892	1192	svchost.exe	100
PID 452 set thread context of 3660	452	svchost.exe	105
PID 3476 set thread context of 4296	3476	svchost.exe	110
PID 4464 set thread context of 3496	4464	svchost.exe	115
PID 3412 set thread context of 3252	3412	svchost.exe	123
PID 3776 set thread context of 4800	3776	svchost.exe	130
PID 1652 set thread context of 1768	1652	svchost.exe	137
PID 1204 set thread context of 4388	1204	svchost.exe	145
PID 544 set thread context of 3540	544	svchost.exe	150
PID 4056 set thread context of 4352	4056	svchost.exe	155
PID 1820 set thread context of 3320	1820	svchost.exe	162
PID 2036 set thread context of 3080	2036	svchost.exe	167
PID 4184 set thread context of 2440	4184	svchost.exe	173
PID 4960 set thread context of 3544	4960	svchost.exe	178
PID 5064 set thread context of 3728	5064	svchost.exe	183
PID 2980 set thread context of 4416	2980	svchost.exe	188
PID 4660 set thread context of 4648	4660	svchost.exe	193
PID 3376 set thread context of 4560	3376	svchost.exe	198
PID 5064 set thread context of 116	5064	svchost.exe	203
PID 3624 set thread context of 4516	3624	svchost.exe	208
PID 2620 set thread context of 1472	2620	svchost.exe	213
PID 4352 set thread context of 2240	4352	svchost.exe	218
PID 2076 set thread context of 1036	2076	svchost.exe	223
PID 1856 set thread context of 2588	1856	svchost.exe	228
PID 2448 set thread context of 4068	2448	svchost.exe	233
PID 5084 set thread context of 3624	5084	svchost.exe	238
PID 3948 set thread context of 2692	3948	svchost.exe	243
PID 5064 set thread context of 1012	5064	svchost.exe	248
PID 872 set thread context of 1328	872	svchost.exe	253
PID 4756 set thread context of 2072	4756	svchost.exe	258
PID 3500 set thread context of 4020	3500	svchost.exe	263
PID 4352 set thread context of 2368	4352	svchost.exe	268
PID 1408 set thread context of 2728	1408	svchost.exe	273
PID 1716 set thread context of 1964	1716	svchost.exe	278
PID 4536 set thread context of 3124	4536	svchost.exe	283
PID 1208 set thread context of 4948	1208	svchost.exe	288
PID 3500 set thread context of 2020	3500	svchost.exe	293
PID 3700 set thread context of 2888	3700	svchost.exe	298
PID 1436 set thread context of 3124	1436	svchost.exe	303
PID 4792 set thread context of 2568	4792	svchost.exe	308
PID 2708 set thread context of 4980	2708	svchost.exe	313
PID 5088 set thread context of 2352	5088	svchost.exe	318
PID 408 set thread context of 5088	408	svchost.exe	323
PID 2888 set thread context of 2776	2888	svchost.exe	328
PID 4752 set thread context of 5148	4752	svchost.exe	333
PID 5296 set thread context of 5328	5296	svchost.exe	338
PID 5476 set thread context of 5500	5476	svchost.exe	343
PID 5656 set thread context of 5684	5656	svchost.exe	348
PID 5836 set thread context of 5872	5836	svchost.exe	353
PID 6032 set thread context of 5308	6032	svchost.exe	358
PID 1952 set thread context of 5364	1952	svchost.exe	363
PID 4532 set thread context of 5656	4532	svchost.exe	368
PID 5840 set thread context of 5860	5840	svchost.exe	373
PID 5196 set thread context of 1316	5196	svchost.exe	378
PID 5524 set thread context of 5496	5524	svchost.exe	383
PID 5676 set thread context of 760	5676	svchost.exe	388
PID 5576 set thread context of 2856	5576	svchost.exe	393
PID 5880 set thread context of 2168	5880	svchost.exe	398
PID 5224 set thread context of 5528	5224	svchost.exe	403
PID 4444 set thread context of 5676	4444	svchost.exe	408
PID 5928 set thread context of 2864	5928	svchost.exe	413

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe

System Network Configuration Discovery: Internet Connection Discovery 1 TTPs 64 IoCs

Adversaries may check for Internet connectivity on compromised systems.

discovery

Internet Connection Discovery

T1016.001

pid	Process
4900	PING.EXE
5628	PING.EXE
1412	PING.EXE
5556	cmd.exe
5460	PING.EXE
5552	PING.EXE
2252	cmd.exe
5452	PING.EXE
3144	PING.EXE
2884	PING.EXE
4428	PING.EXE
3588	PING.EXE
4504	cmd.exe
4936	cmd.exe
116	PING.EXE
4588	PING.EXE
3456	cmd.exe
3968	cmd.exe
2912	cmd.exe
1820	PING.EXE
2280	cmd.exe
3292	cmd.exe
3944	cmd.exe
1892	cmd.exe
5408	cmd.exe
5056	PING.EXE
2284	cmd.exe
1628	PING.EXE
4220	cmd.exe
1344	PING.EXE
1336	cmd.exe
5628	PING.EXE
1956	PING.EXE
2980	cmd.exe
4272	PING.EXE
3048	cmd.exe
4020	PING.EXE
2356	PING.EXE
1204	PING.EXE
4636	PING.EXE
5960	cmd.exe
5228	cmd.exe
1344	cmd.exe
1472	PING.EXE
2712	PING.EXE
3896	cmd.exe
4212	PING.EXE
1348	cmd.exe
4624	PING.EXE
5316	PING.EXE
5280	cmd.exe
864	cmd.exe
1452	PING.EXE
3448	cmd.exe
4272	cmd.exe
5584	cmd.exe
6008	PING.EXE
5552	PING.EXE
5520	PING.EXE
3624	PING.EXE
4456	PING.EXE
4472	cmd.exe
5272	PING.EXE
4836	PING.EXE

Modifies registry class 64 IoCs

description	ioc	Process
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe

Runs ping.exe 1 TTPs 64 IoCs

Remote System Discovery

T1018

pid	Process
4596	PING.EXE
5808	PING.EXE
1628	PING.EXE
2884	PING.EXE
1956	PING.EXE
5316	PING.EXE
5972	PING.EXE
2356	PING.EXE
3376	PING.EXE
116	PING.EXE
32	PING.EXE
1408	PING.EXE
4628	PING.EXE
4588	PING.EXE
4456	PING.EXE
5520	PING.EXE
2712	PING.EXE
3588	PING.EXE
4212	PING.EXE
6008	PING.EXE
5552	PING.EXE
1012	PING.EXE
4020	PING.EXE
1740	PING.EXE
1216	PING.EXE
1224	PING.EXE
2924	PING.EXE
1412	PING.EXE
5452	PING.EXE
828	PING.EXE
2760	PING.EXE
4900	PING.EXE
4272	PING.EXE
5056	PING.EXE
1800	PING.EXE
2504	PING.EXE
1820	PING.EXE
1956	PING.EXE
1204	PING.EXE
5292	PING.EXE
1956	PING.EXE
5628	PING.EXE
6036	PING.EXE
1344	PING.EXE
3936	PING.EXE
1532	PING.EXE
5272	PING.EXE
5628	PING.EXE
4544	PING.EXE
5552	PING.EXE
4836	PING.EXE
4428	PING.EXE
4636	PING.EXE
3076	PING.EXE
1116	PING.EXE
3624	PING.EXE
3436	PING.EXE
2368	PING.EXE
1452	PING.EXE
4624	PING.EXE
2084	PING.EXE
2568	PING.EXE
3664	PING.EXE
1472	PING.EXE

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeIncreaseQuotaPrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeSecurityPrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeTakeOwnershipPrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeLoadDriverPrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeSystemProfilePrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeSystemtimePrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeProfSingleProcessPrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeIncBasePriorityPrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeCreatePagefilePrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeBackupPrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeRestorePrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeShutdownPrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeDebugPrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeSystemEnvironmentPrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeChangeNotifyPrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeRemoteShutdownPrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeUndockPrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeManageVolumePrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeImpersonatePrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeCreateGlobalPrivilege	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: 33	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: 34	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: 35	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: 36	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
Token: SeIncreaseQuotaPrivilege	3824	svchost.exe
Token: SeSecurityPrivilege	3824	svchost.exe
Token: SeTakeOwnershipPrivilege	3824	svchost.exe
Token: SeLoadDriverPrivilege	3824	svchost.exe
Token: SeSystemProfilePrivilege	3824	svchost.exe
Token: SeSystemtimePrivilege	3824	svchost.exe
Token: SeProfSingleProcessPrivilege	3824	svchost.exe
Token: SeIncBasePriorityPrivilege	3824	svchost.exe
Token: SeCreatePagefilePrivilege	3824	svchost.exe
Token: SeBackupPrivilege	3824	svchost.exe
Token: SeRestorePrivilege	3824	svchost.exe
Token: SeShutdownPrivilege	3824	svchost.exe
Token: SeDebugPrivilege	3824	svchost.exe
Token: SeSystemEnvironmentPrivilege	3824	svchost.exe
Token: SeChangeNotifyPrivilege	3824	svchost.exe
Token: SeRemoteShutdownPrivilege	3824	svchost.exe
Token: SeUndockPrivilege	3824	svchost.exe
Token: SeManageVolumePrivilege	3824	svchost.exe
Token: SeImpersonatePrivilege	3824	svchost.exe
Token: SeCreateGlobalPrivilege	3824	svchost.exe
Token: 33	3824	svchost.exe
Token: 34	3824	svchost.exe
Token: 35	3824	svchost.exe
Token: 36	3824	svchost.exe
Token: SeIncreaseQuotaPrivilege	4368	svchost.exe
Token: SeSecurityPrivilege	4368	svchost.exe
Token: SeTakeOwnershipPrivilege	4368	svchost.exe
Token: SeLoadDriverPrivilege	4368	svchost.exe
Token: SeSystemProfilePrivilege	4368	svchost.exe
Token: SeSystemtimePrivilege	4368	svchost.exe
Token: SeProfSingleProcessPrivilege	4368	svchost.exe
Token: SeIncBasePriorityPrivilege	4368	svchost.exe
Token: SeCreatePagefilePrivilege	4368	svchost.exe
Token: SeBackupPrivilege	4368	svchost.exe
Token: SeRestorePrivilege	4368	svchost.exe
Token: SeShutdownPrivilege	4368	svchost.exe
Token: SeDebugPrivilege	4368	svchost.exe
Token: SeSystemEnvironmentPrivilege	4368	svchost.exe
Token: SeChangeNotifyPrivilege	4368	svchost.exe
Token: SeRemoteShutdownPrivilege	4368	svchost.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4188 wrote to memory of 4448	4188	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	85
PID 4188 wrote to memory of 4448	4188	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	85
PID 4188 wrote to memory of 4448	4188	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	85
PID 4188 wrote to memory of 4448	4188	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	85
PID 4188 wrote to memory of 4448	4188	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	85
PID 4188 wrote to memory of 4448	4188	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	85
PID 4188 wrote to memory of 4448	4188	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	85
PID 4188 wrote to memory of 4448	4188	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	85
PID 4188 wrote to memory of 4448	4188	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	85
PID 4188 wrote to memory of 4448	4188	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	85
PID 4188 wrote to memory of 4448	4188	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	85
PID 4188 wrote to memory of 4448	4188	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	85
PID 4188 wrote to memory of 4448	4188	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	85
PID 4188 wrote to memory of 4448	4188	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	85
PID 4448 wrote to memory of 2024	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	86
PID 4448 wrote to memory of 2024	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	86
PID 4448 wrote to memory of 2024	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	86
PID 2024 wrote to memory of 3624	2024	cmd.exe	88
PID 2024 wrote to memory of 3624	2024	cmd.exe	88
PID 2024 wrote to memory of 3624	2024	cmd.exe	88
PID 4448 wrote to memory of 2892	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	89
PID 4448 wrote to memory of 2892	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	89
PID 4448 wrote to memory of 2892	4448	JaffaCakes118_18808fff612eca56d1e1887f88177319.exe	89
PID 2892 wrote to memory of 3824	2892	svchost.exe	90
PID 2892 wrote to memory of 3824	2892	svchost.exe	90
PID 2892 wrote to memory of 3824	2892	svchost.exe	90
PID 2892 wrote to memory of 3824	2892	svchost.exe	90
PID 2892 wrote to memory of 3824	2892	svchost.exe	90
PID 2892 wrote to memory of 3824	2892	svchost.exe	90
PID 2892 wrote to memory of 3824	2892	svchost.exe	90
PID 2892 wrote to memory of 3824	2892	svchost.exe	90
PID 2892 wrote to memory of 3824	2892	svchost.exe	90
PID 2892 wrote to memory of 3824	2892	svchost.exe	90
PID 2892 wrote to memory of 3824	2892	svchost.exe	90
PID 2892 wrote to memory of 3824	2892	svchost.exe	90
PID 2892 wrote to memory of 3824	2892	svchost.exe	90
PID 2892 wrote to memory of 3824	2892	svchost.exe	90
PID 3824 wrote to memory of 2296	3824	svchost.exe	91
PID 3824 wrote to memory of 2296	3824	svchost.exe	91
PID 3824 wrote to memory of 2296	3824	svchost.exe	91
PID 2296 wrote to memory of 4020	2296	cmd.exe	93
PID 2296 wrote to memory of 4020	2296	cmd.exe	93
PID 2296 wrote to memory of 4020	2296	cmd.exe	93
PID 3824 wrote to memory of 1036	3824	svchost.exe	94
PID 3824 wrote to memory of 1036	3824	svchost.exe	94
PID 3824 wrote to memory of 1036	3824	svchost.exe	94
PID 1036 wrote to memory of 4368	1036	svchost.exe	95
PID 1036 wrote to memory of 4368	1036	svchost.exe	95
PID 1036 wrote to memory of 4368	1036	svchost.exe	95
PID 1036 wrote to memory of 4368	1036	svchost.exe	95
PID 1036 wrote to memory of 4368	1036	svchost.exe	95
PID 1036 wrote to memory of 4368	1036	svchost.exe	95
PID 1036 wrote to memory of 4368	1036	svchost.exe	95
PID 1036 wrote to memory of 4368	1036	svchost.exe	95
PID 1036 wrote to memory of 4368	1036	svchost.exe	95
PID 1036 wrote to memory of 4368	1036	svchost.exe	95
PID 1036 wrote to memory of 4368	1036	svchost.exe	95
PID 1036 wrote to memory of 4368	1036	svchost.exe	95
PID 1036 wrote to memory of 4368	1036	svchost.exe	95
PID 1036 wrote to memory of 4368	1036	svchost.exe	95
PID 4368 wrote to memory of 4860	4368	svchost.exe	96
PID 4368 wrote to memory of 4860	4368	svchost.exe	96
PID 4368 wrote to memory of 4860	4368	svchost.exe	96
PID 4860 wrote to memory of 4628	4860	cmd.exe	98

C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
"C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_18808fff612eca56d1e1887f88177319.exe"
1⤵
- Suspicious use of SetThreadContext
- Suspicious use of WriteProcessMemory
PID:4188
- C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
  C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_18808fff612eca56d1e1887f88177319.exe
  2⤵
  - Modifies WinLogon for persistence
  - Checks computer location settings
  - Adds Run key to start application
  - Drops file in System32 directory
  - Modifies registry class
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:4448
- - C:\Windows\SysWOW64\cmd.exe
    "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_18808fff612eca56d1e1887f88177319.exe"
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:2024
  - - C:\Windows\SysWOW64\PING.EXE
      ping 127.0.0.1 -n 5
      4⤵
      System Network Configuration Discovery: Internet Connection Discovery
      Runs ping.exe
      PID:3624
- - C:\Windows\SysWOW64\Windupdt\svchost.exe
    "C:\Windows\system32\Windupdt\svchost.exe"
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetThreadContext
    - Suspicious use of WriteProcessMemory
    PID:2892
  - - C:\Windows\SysWOW64\Windupdt\svchost.exe
      C:\Windows\SysWOW64\Windupdt\svchost.exe
      4⤵
      Modifies WinLogon for persistence
      Checks computer location settings
      Executes dropped EXE
      Adds Run key to start application
      Modifies registry class
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:3824
    - - C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        5⤵
        Suspicious use of WriteProcessMemory
        
        PID:2296
      - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        6⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4020
    - - C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        5⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:1036
      - C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        6⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:4368
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        7⤵
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:4860
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        8⤵
        Runs ping.exe
        
        PID:4628
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        7⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:1192
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        8⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:4892
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        9⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3456
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        10⤵
        Runs ping.exe
        
        PID:2504
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        9⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:452
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        10⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:3660
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        11⤵
        
        PID:5092
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        12⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2356
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        11⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:3476
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        12⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:4296
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        13⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2284
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        14⤵
        Runs ping.exe
        
        PID:3436
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        13⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:4464
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        14⤵
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:3496
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        15⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4936
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        16⤵
        Runs ping.exe
        
        PID:1740
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        15⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:3412
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        16⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:3252
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        17⤵
        System Location Discovery: System Language Discovery
        
        PID:2872
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        18⤵
        Runs ping.exe
        
        PID:4596
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        17⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:3776
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        18⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:4800
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        19⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2280
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        20⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:1216
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        19⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:1652
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        20⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:1768
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        21⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2252
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        22⤵
        Runs ping.exe
        
        PID:828
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        21⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:1204
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        22⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:4388
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        23⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3968
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        24⤵
        Runs ping.exe
        
        PID:3376
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        23⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:544
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        24⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:3540
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        25⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3292
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        26⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:116
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        25⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:4056
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        26⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Modifies registry class
        
        PID:4352
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        27⤵
        
        PID:3464
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        28⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4836
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        27⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:1820
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        28⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Modifies registry class
        
        PID:3320
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        29⤵
        
        PID:1888
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        30⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:32
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        29⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:2036
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        30⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:3080
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        31⤵
        System Location Discovery: System Language Discovery
        
        PID:1468
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        32⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1472
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        31⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:4184
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        32⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:2440
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        33⤵
        
        PID:1696
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        34⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4588
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        33⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:4960
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        34⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:3544
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        35⤵
        
        PID:2216
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        36⤵
        Runs ping.exe
        
        PID:3936
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        35⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:5064
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        36⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:3728
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        37⤵
        
        PID:2124
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        38⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:2368
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        37⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:2980
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        38⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:4416
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        39⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2912
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        40⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2712
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        39⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:4660
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        40⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:4648
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        41⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:864
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        42⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3144
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        41⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:3376
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        42⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:4560
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        43⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:1348
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        44⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1820
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        43⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:5064
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        44⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:116
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        45⤵
        
        PID:3340
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        46⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1204
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        45⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:3624
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        46⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:4516
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        47⤵
        System Location Discovery: System Language Discovery
        
        PID:388
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        48⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1628
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        47⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:2620
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        48⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Modifies registry class
        
        PID:1472
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        49⤵
        System Location Discovery: System Language Discovery
        
        PID:4392
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        50⤵
        Runs ping.exe
        
        PID:1224
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        49⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:4352
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        50⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Modifies registry class
        
        PID:2240
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        51⤵
        
        PID:2768
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        52⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2884
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        51⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:2076
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        52⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:1036
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        53⤵
        
        PID:1920
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        54⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4900
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        53⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:1856
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        54⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:2588
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        55⤵
        
        PID:4960
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        56⤵
        Runs ping.exe
        
        PID:1956
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        55⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:2448
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        56⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:4068
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        57⤵
        
        PID:224
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        58⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:2924
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        57⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:5084
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        58⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Modifies registry class
        
        PID:3624
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        59⤵
        
        PID:116
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        60⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4428
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        59⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:3948
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        60⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Modifies registry class
        
        PID:2692
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        61⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3944
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        62⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1452
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        61⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:5064
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        62⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:1012
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        63⤵
        
        PID:1980
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        64⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:3588
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        63⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:872
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        64⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:1328
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        65⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4220
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        66⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4624
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        65⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:4756
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        66⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Modifies registry class
        
        PID:2072
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        67⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:1892
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        68⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1956
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        67⤵
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:3500
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        68⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:4020
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        69⤵
        
        PID:3416
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        70⤵
        Runs ping.exe
        
        PID:2084
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        69⤵
        Suspicious use of SetThreadContext
        
        PID:4352
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        70⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Drops file in System32 directory
        Modifies registry class
        
        PID:2368
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        71⤵
        System Location Discovery: System Language Discovery
        
        PID:3008
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        72⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4636
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        71⤵
        Suspicious use of SetThreadContext
        
        PID:1408
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        72⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:2728
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        73⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3896
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        74⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:3076
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        73⤵
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:1716
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        74⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:1964
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        75⤵
        
        PID:2084
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        76⤵
        Runs ping.exe
        
        PID:1408
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        75⤵
        Suspicious use of SetThreadContext
        
        PID:4536
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        76⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:3124
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        77⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:2980
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        78⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4456
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        77⤵
        Suspicious use of SetThreadContext
        
        PID:1208
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        78⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:4948
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        79⤵
        
        PID:3544
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        80⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4272
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        79⤵
        Suspicious use of SetThreadContext
        
        PID:3500
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        80⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2020
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        81⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3448
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        82⤵
        Runs ping.exe
        
        PID:1532
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        81⤵
        Suspicious use of SetThreadContext
        
        PID:3700
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        82⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:2888
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        83⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4504
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        84⤵
        Runs ping.exe
        
        PID:1800
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        83⤵
        Suspicious use of SetThreadContext
        
        PID:1436
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        84⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:3124
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        85⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4272
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        86⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:2760
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        85⤵
        Suspicious use of SetThreadContext
        
        PID:4792
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        86⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Modifies registry class
        
        PID:2568
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        87⤵
        
        PID:1532
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        88⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:1412
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        87⤵
        Suspicious use of SetThreadContext
        
        PID:2708
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        88⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:4980
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        89⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:4472
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        90⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:2568
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        89⤵
        Suspicious use of SetThreadContext
        
        PID:5088
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        90⤵
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:2352
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        91⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:3048
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        92⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:1412
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        91⤵
        Suspicious use of SetThreadContext
        
        PID:408
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        92⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:5088
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        93⤵
        
        PID:3036
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        94⤵
        Runs ping.exe
        
        PID:1116
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        93⤵
        Suspicious use of SetThreadContext
        
        PID:2888
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        94⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:2776
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        95⤵
        
        PID:2708
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        96⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4212
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        95⤵
        Suspicious use of SetThreadContext
        
        PID:4752
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        96⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:5148
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        97⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:5228
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        98⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5272
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        97⤵
        Suspicious use of SetThreadContext
        
        PID:5296
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        98⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:5328
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        99⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:5408
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        100⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5452
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        99⤵
        Suspicious use of SetThreadContext
        
        PID:5476
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        100⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:5500
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        101⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:5584
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        102⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5628
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        101⤵
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:5656
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        102⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:5684
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        103⤵
        System Location Discovery: System Language Discovery
        
        PID:5764
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        104⤵
        Runs ping.exe
        
        PID:5808
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        103⤵
        Suspicious use of SetThreadContext
        
        PID:5836
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        104⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:5872
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        105⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:5960
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        106⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:6008
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        105⤵
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:6032
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        106⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:5308
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        107⤵
        
        PID:4212
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        108⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5316
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        107⤵
        Suspicious use of SetThreadContext
        
        PID:1952
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        108⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:5364
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        109⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:5556
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        110⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5552
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        109⤵
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:4532
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        110⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Drops file in System32 directory
        Modifies registry class
        
        PID:5656
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        111⤵
        
        PID:5756
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        112⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5628
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        111⤵
        Suspicious use of SetThreadContext
        
        PID:5840
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        112⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Modifies registry class
        
        PID:5860
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        113⤵
        
        PID:5812
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        114⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:6036
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        113⤵
        Suspicious use of SetThreadContext
        
        PID:5196
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        114⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:1316
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        115⤵
        
        PID:2508
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        116⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5520
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        115⤵
        Suspicious use of SetThreadContext
        
        PID:5524
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        116⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:5496
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        117⤵
        
        PID:5296
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        118⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:5460
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        117⤵
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:5676
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        118⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:760
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        119⤵
        
        PID:5844
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        120⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1344
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        119⤵
        Suspicious use of SetThreadContext
        
        PID:5576
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        120⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:2856
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        121⤵
        
        PID:5952
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        122⤵
        Runs ping.exe
        
        PID:4544
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        121⤵
        Suspicious use of SetThreadContext
        
        PID:5880
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        122⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:2168
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        123⤵
        System Location Discovery: System Language Discovery
        
        PID:5004
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        124⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:3664
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        123⤵
        Suspicious use of SetThreadContext
        
        PID:5224
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        124⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:5528
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        125⤵
        
        PID:5516
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        126⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:1012
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        125⤵
        Suspicious use of SetThreadContext
        
        PID:4444
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        126⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:5676
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        127⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:1336
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        128⤵
        Runs ping.exe
        
        PID:5972
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        127⤵
        Suspicious use of SetThreadContext
        
        PID:5928
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        128⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:2864
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        129⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:1344
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        130⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5056
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        129⤵
        
        PID:5252
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        130⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:2192
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        131⤵
        System Network Configuration Discovery: Internet Connection Discovery
        
        PID:5280
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        132⤵
        Runs ping.exe
        
        PID:5292
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        131⤵
        
        PID:5544
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        132⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:5420
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        133⤵
        
        PID:3948
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        134⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5552
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        133⤵
        
        PID:4760
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        134⤵
        Modifies WinLogon for persistence
        Checks computer location settings
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:4360
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 5&del "C:\Windows\SysWOW64\Windupdt\svchost.exe"
        135⤵
        
        PID:4756
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 5
        136⤵
        System Location Discovery: System Language Discovery
        Runs ping.exe
        
        PID:1956
        
        C:\Windows\SysWOW64\Windupdt\svchost.exe
        
        "C:\Windows\system32\Windupdt\svchost.exe"
        135⤵
        
        PID:1624

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

Remote System Discovery

T1018

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

System Network Configuration Discovery

T1016

Internet Connection Discovery

T1016.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\Windupdt\svchost.exe

Filesize
902KB

MD5
18808fff612eca56d1e1887f88177319

SHA1
803a2af807a3c2c9c844674379c2230a812fafb0

SHA256
16c75f3c3f06516f7c25080f2ab9a326b70c7a9558c2a91732136a5684a9b18f

SHA512
657acbbd1fd467395c47ef415b414f3f3f04bb4153c63f2e40c1203493895d46e1c6a439a70ad9640fe73051b26f3f4e35e8d8928b6eb1dd7ef968b41aa028ef

Download Submit
memory/452-103-0x0000000000400000-0x00000000004E9000-memory.dmp

Filesize
932KB

Download
memory/1036-77-0x0000000000400000-0x00000000004E9000-memory.dmp

Filesize
932KB

Download
memory/1192-90-0x0000000000400000-0x00000000004E9000-memory.dmp

Filesize
932KB

Download
memory/2892-64-0x0000000000400000-0x00000000004E9000-memory.dmp

Filesize
932KB

Download
memory/3660-106-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/3824-62-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/3824-67-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/3824-66-0x00000000004C0000-0x0000000000589000-memory.dmp

Filesize
804KB

Download
memory/3824-63-0x0000000002330000-0x0000000002331000-memory.dmp

Filesize
4KB

Download
memory/4188-11-0x0000000000400000-0x00000000004E9000-memory.dmp

Filesize
932KB

Download
memory/4368-80-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4448-2-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4448-49-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4448-8-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4448-0-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4448-1-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4448-7-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4448-13-0x00000000023C0000-0x00000000023C1000-memory.dmp

Filesize
4KB

Download
memory/4448-4-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4448-12-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4448-6-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4448-10-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download
memory/4892-93-0x0000000000400000-0x00000000004B5000-memory.dmp

Filesize
724KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads